病毒名稱(中文):
科多獸
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
蠕蟲病毒
病毒長度:
47672
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是個感染型的蠕蟲病毒變種,感染擴展名爲.exe、.asp、.aspx、.htm以及.html的文件,被該變種感染後的.exe文件大部分會損壞,無法恢複,病毒自身會通過局域網和郵件傳播。
1、病毒運行後會從資源釋放文件到到%tmp%目錄,文件名爲隨即生成。該資源類型爲EXEFILE,名稱爲EXE。
2、創建進程運行該釋放的文件。
3、創建一個MUTEX監測自身是否爲第一個運行實例,若不是,則進程終止。
4、監測自身文件名是否爲ePower.exe,若不是執行(5),否則執行(6)。
5、複制自身到%system%\ePower.exe,並運行,退出自身進程。
6、從資源中釋放驅動文件到%system%目錄下,文件名隨機(擴展名爲sys)。之後會刪除該文件。
7、修改注冊表,創建名字爲SysDrver的服務,實現開機自啓。
8、創建線程,功能如下:
線程1:枚舉網絡可用資源,嘗試通過IPC連接傳播自身;發送郵件,通過email傳播自身
線程2:連接網絡下載其他病毒。
線程3:從Z盤到B盤,搜索所有exe、asp、aspx、htm、html爲擴展名的文件,並感染(系統盤除外)。
感染exe文件方式:病毒將自身複制到%tmp%目錄下的隨機文件名文件,讀取欲感染的文件,並將其加入到病毒副本資源的EXEFILE類型的EXE。用該病毒副本覆蓋于感染的文件完成感染,刪除副本。
由于該變種自身原因,被感染的.exe文件都被損壞,無法恢複且感染後病毒自身也無法運行。建議刪除文件。