G.国王族 官方论坛-广州游戏资讯网
标题:
[转帖]“科多兽”病毒档案
[打印本页]
作者:
Rico_Y
时间:
2006-12-4 09:46
标题:
[转帖]“科多兽”病毒档案
病毒全名:worm.kodo.aa 中文名 :科多兽 病毒简介: 这是个感染型的蠕虫病毒,感染扩展名为.exe、.htm以及.html的文件,会通过局域网和邮件传播,并可从互联网上下载任意可执行程序,易于恶意软件的安装。 技术细节: 1.病毒运行后会从资源释放文件到到%tmp%目录,文件名为随即生成。该资源类型为EXEFILE,名称为EXE。 2.创建进程运行该释放的文件。 3.创建一个MUTEX监测自身是否为第一个运行实例,若不是,则进程终止。 4.复制自身到%system%\ePower.exe,并运行,退出自身进程。 5.从资源中释放驱动文件到%system%目录下,文件名随机(扩展名为sys)。之后会删除该文件。 6.修改注册表,创建名字为SysDrver的服务,实现开机自启。 7.创建线程,功能如下: 线程1:枚举网络可用资源,尝试通过IPC连接传播自身;发送邮件,通过email传播自身 线程2:连接网络下载病毒,网址如下:h**p://soft.ppandora.com/bear.exe,该链接已失效,但主页有病毒脚本,打开即中毒。 线程3:从Z盘到B盘,搜索所有exe、htm、html为扩展名的文件,并感染(系统盘除外)。 感染exe文件方式:病毒将自身复制到%tmp%目录下的随机文件名文件,读取欲感染的文件,并将其加入到病毒副本资源的EXEFILE类型的EXE。用该病毒副本覆盖于感染的文件完成感染,删除副本。 感染htm文件方式:将如下字符串写入文件尾。
欢迎光临 G.国王族 官方论坛-广州游戏资讯网 (http://bbs.gzgame.com.cn/)
Powered by Discuz! X3.1