主页

Worm.Cult.c

病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
6515
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个通过KAZAA文件共享系统和电子邮件传播的蠕虫病毒。该病毒会将自己拷贝到系统目录中,建立一个“hsdfgefju”文件夹并将多个病毒副本拷贝到该文件夹中,再通过修改注册表将KAZAA的共享目录定位到该文件夹,诱骗其他用户下载运行。此外,该病毒还伪造发信人向收集到的邮件接收者发送带有病毒的邮件,而这些邮件都被伪装成电子贺卡的形式,欺骗性极强。

1.将自己拷贝到系统目录中:
C:\WINNT\System32\wuaumgq.exe

建立一个hsdfgefju文件夹,里面存放多个病毒副本:
C:\WINNT\System32\hsdfgefju\zoneallarm_pro_crack.exe
C:\WINNT\System32\hsdfgefju\AVP_Crack.exe
C:\WINNT\System32\hsdfgefju\SMS_sender.exe
C:\WINNT\System32\hsdfgefju\DivX 5.03 Codecs.exe
C:\WINNT\System32\hsdfgefju\Download accelarator.exe
C:\WINNT\System32\hsdfgefju\PaintShop Pro 7 Crack_By_Force.exe
C:\WINNT\System32\hsdfgefju\ZoneAlarm Pro KeyGen.exe
C:\WINNT\System32\hsdfgefju\porn.exe
C:\WINNT\System32\hsdfgefju\hotgirls.exe
C:\WINNT\System32\hsdfgefju\SM.exe

释放另外一个脚本病毒:
C:\WINNT\System32\opwfbdsg.txt

2.添加注册表启动项:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"Winsock driver"="wuaumgq.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Winsock driver"="wuaumgq.exe"

3.通过修改注册表来修改KAZAA文件共享系统的路径到病毒目录:
HKCU\SOFTWARE\KAZAA\LocalContent
"Dir0"="012345:C:\WINNT\System32\hsdfgefju\"

4.向收集来的地址发送带毒邮件:
主题: Hi, I sent you an eCard from BlueMountain.com

正文:
To view your eCard, open the attachment
If you have any comments or questions, please visit http:/ /www.bluemountain.com/customer/index.pd
Thanks for using BlueMountain.com.

附件: BlueMountaineCard.pif