Worm.surconfluge

病毒名稱(中文):

破壞之神

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

蠕蟲病毒

病毒長度:

36055

影響系統:

Win9xWinNT

病毒行爲:

這是一個通過郵件,P2P和IRC傳播的蠕蟲病毒,該病毒在被感染的計算機上實施一系列的嚴重的破壞活動,使用戶無法正常使用計算機.

1.生成文件

%Windows%\TASKMANAGER.exe

%ProgramFiles%\WindowsMediaPlayer\wmlaunch.exe

%ProgramFiles%\InternetExplorer\Firewall.exe

%ProgramFiles%\InternetExplorer\WWEDivas.exe

C:\DocumentsandSettings\AllUsers\StartMenu\Programs\Startup\XPStart.exe

C:\Torrie&Stacy.exe

C:\ProgramFiles\Torrie&Stacy.exe

2.增加啓動項,使病毒開機運行.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

鍵Firewall鍵值"%ProgramFiles%\WindowsMediaPlayer\wmlaunch.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

鍵Protection鍵值"%ProgramFiles%\InternetExplorer\Firewall.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

鍵SysRes鍵值"%Windows%\TASKMANAGER.exe"

3.搜索Windows地址簿中所有的地址,並發送郵件

發件人:

administrator@wwe.com

郵件主題:

WWEAdmninistrator

郵件內容:

FreeWWETorrieWilsonandSableScreanSaver

郵件附件:

WWEDIVAS.exe

4.P2P傳播方式:

病毒通過把本身拷貝到以下P2P軟件的共享目錄,來達到傳播的目的.包括KMD,Kazaa,Morpheus,Grokster,BearshareandEdonkey2000。

C:\ProgramFiles\BearShare\Shared\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\Edonkey2000\Incoming\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\Grokster\MyGrokster\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\KMD\MySharedFolder\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\KaZaALite\MySharedFolder\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\Kazaa\MySharedFolder\WWETorrieandSableScreanSaver.exe

C:\ProgramFiles\Morpheus\MySharedFolder\WWETorrieandSableScreanSaver.exe

5.通過IRC傳播

爲了通過IRC傳播,蠕蟲會複制到以下位置:

C:\ProgramFiles\mIRC\Downloads\WWEDIVAS.exe

6.蠕蟲會終止LSASS.exe進程,導致一部分計算機不斷重啓.

7.蠕蟲會終止以下的進程

DAP.exe

VB6.exe

msgmsgr.exe

ccapp.exe

regedit.com

mdm.exe

iexplore.exe

smss.exe

dllhost.exe

SVCHOST.exe

8.修改Hosts,禁止用戶訪問以下網站:

http://oe.msn.msnmail.hotmail.com/cgi-bin/hmdata

http://services.msn.com/svcs/hotmail/httpmail.asp

http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=hotmail

messenger.hotmail.com

raw.wwe.com

smackdown.wwe.com

www.about.com

www.alltheweb.com

www.altavista.com

www.download.com

www.emp3finder.com

www.geocities.com

www.google.com

www.guitar-pro.com

www.hdpvidz.com

www.hotmail.com

www.kazaa.com

www.mcafee.com

www.microsoft.com

www.msn.com

www.mysongbook.com

www.nero.com

www.net2phone.com

www.regedit.com

www.rohitab.com

www.roxio.com

www.symantec.com

www.themetsource.com

www.trendmicro.com

www.urbanchaosvideos.com

www.vbcode.com

www.wwe.com

www.yahoo.com

9.刪除文件:

%ProgramFiles%\commonfiles\symantecshared\ScriptBlocking\scrblock.dll

10.病毒會通過修改注冊表,破壞用戶使用以下功能:

禁止「運行」菜單

禁止「關閉」菜單

禁止"查找"命令

禁止系統恢複

禁止使用cmd命令模式

禁止使用注冊表程序regedit.exe

設置計算機名爲surconfluge

11.病毒會禁止使用以下100種程序:

notepad.exe,

wordpad.exe,

msnmsgr.exe,

winzip.exe,

CLEAN_NOTEPAD.EXE,

moviemk.exe,

defrag.exe,

netstat.exe,

netstat.exe,

sndvol32.exe,

sndrec32.exe,

CCIMSCN.exe,

shutdown.exe,

sndvol32.exe,

write.exe,

dxdiag.exe,

ntbackup.exe,

dialer.exe,

dllhost.exe,

print.exe,

trendmicro.com,

UPXiT.exe,

vb6.exe,

NMain.exe,

NAVW32.exe,

NAVWNT.exe,

NAVSTUB.exe,

navui.nsi

,MSDEV.exe,

chktrust.exe,

apssm.exe,

SNDSrvc.exe

NMain.exe

Ra2.exe,

vfp6.exe,

setup.exe,

install.exe,

savscan.exe,

ad-aware.exe,

remove.exe,

uninstall.exe,

NeroStartSmart.exe,

uninst.exe,

isuninst.exe,

aawsepersonal.exe,

keygen.exe,cmd.exe,

project1.exe,

1.exe,

file.exe,

browser.exe

UNWISE.exe,

play.exe

directcd.exe

bind.exe

VPC32.exe

VPDN_LU.exe,

VPTray.exe

DefWatch.exe

DoScan.exe

Integrator.exe

swdoctor.exe

.exe......

12.蠕蟲會使防病毒,windows升級,防火牆軟件失效.

13.共享C、D、E盤。

14.蠕蟲會生成"C:\VirusDetected.txt"文本文件,包含以下內容:

"Wormisdetectedonyourcomputer(W32.surconfluge.A@mm),updateyourVirusDefinitiontoprotectyourcomputerfromthelastestvirusesandworms."

 
Worm.surconfluge
病毒名稱: Worm.surconfluge 類別: 蠕蟲病毒 病毒資料: 這是一個通過郵件,P2P和IRC傳播的蠕蟲病毒,該病毒在被感染的計算機上實施一系列的嚴重的...查看完整版>>Worm.surconfluge
 
WORM
  今日,全球網絡安全廠商趨勢科技(東京證交所代號:4704)針對一只將于四月一號愚人節發作的病毒WORM_DOWNAD.KK提出警告。此系列病毒WORM_DOWNAD.A于2008年12月第一次現身至今,已經感染了超過一千五百萬的計算機...查看完整版>>WORM
 
Worm.Delf.cc.131212
病毒名稱(中文): 冒牌Skype131212 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 91136影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這個盜號木馬會僞裝成SkypeClie...查看完整版>>Worm.Delf.cc.131212
 
Worm.Viking.n.58843
病毒名稱(中文): 威金變種58843 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 59879影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個蠕蟲病毒。它是威金病毒的...查看完整版>>Worm.Viking.n.58843
 
Worm.Zhelatin.119296
病毒名稱(中文): 澤尼特變種119296 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 119296影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個蠕蟲病毒。它是澤尼特...查看完整版>>Worm.Zhelatin.119296