病毒名：W32/Floodnet@MM

大小：228,352 bytes

类型：蠕虫病毒，是用UPX压缩的，使用Delphi 来写的。

病毒特征的描述：

病毒会向Microsoft Outlook地址簿、MSN Messenger联系列表等发送带有病毒的邮

件。邮件病毒的一些简单的信息如下：

邮件的主题：Thoughts...

内容：: I just found this program, and, i dont know why...but it reminded me of you. check it out.

附件：Cute.exe (228,352 bytes)

当附件的程序运行时，将把自己复制到WINDOWS的系统目录下，并对注册表进行以下的操作：

1）HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Run\Windows=C:\WINDOWS\KERNEL32.EXE

2） HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

RunServices\Windows=C:\WINDOWS\KERNEL32.EXE

对系统配置文件的操作：

1)SYSTEM.INI - [boot]\shell=explorer.exe C:\WINDOWS\KERNEL32.EXE

2)WIN.INI - [windows]\load=C:\WINDOWS\KERNEL32.EXE

对内存中程序的进程进行扫描，发现有关于木马清除程序的进程和下面列出程序的进程，将把它杀掉和删除相关

的文件：

Anti-Trojan.exe

ANTS.EXE

APLICA32.EXE

AVCONSOL.EXE

AVP.EXE

AVP32.EXE

AVP32.EXE

AVPCC.EXE

AVPCC.EXE

AVPM.EXE

AVPM.EXE

blackd.exe

blackice.exe

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

cleaner.exe

cleaner3.exe

expl32.exe

FRW.EXE

iamapp.exe

iamserv.exe

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

LIBUPDATE.EXE

lockdown2000.exe

minilog.exe

MooLive.exe

MPGSRV32.EXE

Mssmmc32.exe

NAVAPW32.EXE

NAVW32.EXE

nvarch16.exe

PCFWallIcon.EXE

RunDii.exe

RunDIl.exe

rundli.exe

SAFEWEB.EXE

Sphinx.exe

tca.exe

TDS2-.EXE

TDS2-.EXE

TEMP.EXE

VSECOMR.EXE

VSHWIN32.EXE

vsmon.exe

VSSTAT.EXE

WEBSCANX.EXE

WinDll.exe

WrAdmin.exe

WrCtrl.exe

zonealarm.exe

注册相应的系统服务：

HKEY_CLASSES_ROOT\.vx\(Default)=exefile

HKEY_CLASSES_ROOT\.vx\Content Type=application/x-msdownload

HKEY_CLASSES_ROOT\.vx\NeverShowExt=

可以用多钟方式来感染和攻击机器：

1）通过向MSN Messenger and AOL Instant Messenger 发送信息。

2）发送电子邮件

3）开始发动拒绝服务器的攻击

4）使用多种的IRC 命令（包括join/part channels, privmsg, etc）

5）使用FTP命令 （包括file access, copy, move, delete）

本站所有文章的著作权归作者所有