本周15.38版新增207个可查杀病毒,主要包括: WINDOWS下的PE病毒(160);脚本病毒(46);普通文件病毒(1);
WINDOWS下的PE病毒(160)
1.Worm.Nocana.d.enc
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为不定值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Out of my heart?
Nelly Furtado!
TIPs: HOW TO DEFACE A WEBSERVER?
What New in The ScreenSaver!
FoxNews Reporter: There are no Solution for SARS?
Get Your Free XXX Password!
Gotcha baby!>Crack for Nokia LogoManager 1.3
Help me plz?
Tds2-Nt.exe
News: US Goverment try to make wars with Tehran..
Re: are you married?
(3) Alert! New Variant Anacon.C has been detected!
SHakE yOur BodY bAbE!
Patch for Microsoft Windows XP 64bit
Your FTP Password: iuahdf7d8hfF
Get Free SMTP Server at Click Here!
正文一般为:
Hello dear,I'm gonna missed you babe, hope we can see again!In Love,*Rekcahlem ~<>~ Anacon
i babe, Still missing me! I have send to you a special gift I made it my own.
Just for you. Check it out the attachment.
Your Love,Rekcahlem,reat to see you again babe!
This is file you want las week.
Please don't distribute it to other.
Regard,V.C.Attention!
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Jonny English (JE).avi.exe
DOOM III Demo.exe
winamp3.exe
JugdeDread.exe
Microsoft Visual Studio.exe
gangXcop.exe
Upgrade you HandPhone.exe
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
VISE.exe MSVisual C++.exe
QuickInstaller.exe
Q111023.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
InternationalDictionary.exe
EAGames.exe
SEX_HOTorCOOL.exe
4.病毒发作时格式化D盘,删除C盘根目录下所有文件
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> ANA_Index.htm
default.htm -> ANA_Default.htm
index.html -> ANA_Index.html
default.html -> ANA_Default.html
index.asp -> ANA_Index.asp
default.asp -> ANA_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等
2.Worm.Nocana.d
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为不定值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Out of my heart?
Nelly Furtado!
TIPs: HOW TO DEFACE A WEBSERVER?
What New in The ScreenSaver!
FoxNews Reporter: There are no Solution for SARS?
Get Your Free XXX Password!
Gotcha baby!>Crack for Nokia LogoManager 1.3
Help me plz?
Tds2-Nt.exe
News: US Goverment try to make wars with Tehran..
Re: are you married?
(3) Alert! New Variant Anacon.C has been detected!
SHakE yOur BodY bAbE!
Patch for Microsoft Windows XP 64bit
Your FTP Password: iuahdf7d8hfF
Get Free SMTP Server at Click Here!
正文一般为:
Hello dear,I'm gonna missed you babe, hope we can see again!In Love,*Rekcahlem ~<>~ Anacon
i babe, Still missing me! I have send to you a special gift I made it my own.
Just for you. Check it out the attachment.
Your Love,Rekcahlem,reat to see you again babe!
This is file you want las week.
Please don't distribute it to other.
Regard,V.C.Attention!
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Jonny English (JE).avi.exe
DOOM III Demo.exe
winamp3.exe
JugdeDread.exe
Microsoft Visual Studio.exe
gangXcop.exe
Upgrade you HandPhone.exe
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
VISE.exe MSVisual C++.exe
QuickInstaller.exe
Q111023.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
InternationalDictionary.exe
EAGames.exe
SEX_HOTorCOOL.exe
4.病毒发作时格式化D盘,删除C盘根目录下所有文件
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> ANA_Index.htm
default.htm -> ANA_Default.htm
index.html -> ANA_Index.html
default.html -> ANA_Default.html
index.asp -> ANA_Index.asp
default.asp -> ANA_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等
3.Worm.Nocana.a.enc
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为随机值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,采用UPX压缩,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Do you happy?
Riyadh Issue: Al-Qaeda vs FBI
Osama Bin Laden Come Back!
Al-Qaeda News: Bombing Mission Success!
Check This Out!
Re: can mali can!
Al-Qaeda Team Entertainment News
[AQTE News]
Al-Jazeera: AQTE Come back!
Hi, may I read your mind?
Acheh Issue: What Solution!
Saddam Hussein Still alive
Iraqi people don't want US Control.
Let's Iraqi people build their country.
Download New 256-Bit Encryption Software
Alert! W32.HLLW.Anacon@mm Worm Has been detected!
Register you Windows Now!
Get free update Microsoft Windows Media Player
TIPS: How to hide your IP Address!
How to Protect you PC from Hackers!
正文一般为:
Hi dear,
Once I was first saw you, I was fall in love! Even you are already
has special friend!
Fall In Love,
Rekcahlem ~=~ Anacon
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000, Limewire
文件名一般为:
X-Men II Trailer.mpg.exe
The Matrix Reloaded.jpg.exe
Jonny English (JE).avi.exe
EmpireEarthII.msi.exe
JumpingJumping.exe
SuperMarioBrother.exe
YoungAndNotTooDangerous.exe
Nokia8250Series.exe
About SARS Solution.doc.exe
Dont eat pork.. SARS in there.jpg.exe
Mesmerize.exe
MSVisual C++.exe
Installer.exe
setup.exe
Q544512.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
WMovie Maker II.exe
SEX_HOT.ex
4.病毒发作时格式化D盘
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> Anacon_Index.htm
default.htm -> Anacon_Default.htm
index.html -> Anacon_Index.html
default.html -> Anacon_Default.html
index.asp -> Anacon_Index.asp
default.asp -> Anacon_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码等
4.Worm.Nocana.a
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为随机值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,采用UPX压缩,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Do you happy?
Riyadh Issue: Al-Qaeda vs FBI
Osama Bin Laden Come Back!
Al-Qaeda News: Bombing Mission Success!
Check This Out!
Re: can mali can!
Al-Qaeda Team Entertainment News
[AQTE News]
Al-Jazeera: AQTE Come back!
Hi, may I read your mind?
Acheh Issue: What Solution!
Saddam Hussein Still alive
Iraqi people don't want US Control.
Let's Iraqi people build their country.
Download New 256-Bit Encryption Software
Alert! W32.HLLW.Anacon@mm Worm Has been detected!
Register you Windows Now!
Get free update Microsoft Windows Media Player
TIPS: How to hide your IP Address!
How to Protect you PC from Hackers!
正文一般为:
Hi dear,
Once I was first saw you, I was fall in love! Even you are already
has special friend!
Fall In Love,
Rekcahlem ~=~ Anacon
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000, Limewire
文件名一般为:
X-Men II Trailer.mpg.exe
The Matrix Reloaded.jpg.exe
Jonny English (JE).avi.exe
EmpireEarthII.msi.exe
JumpingJumping.exe
SuperMarioBrother.exe
YoungAndNotTooDangerous.exe
Nokia8250Series.exe
About SARS Solution.doc.exe
Dont eat pork.. SARS in there.jpg.exe
Mesmerize.exe
MSVisual C++.exe
Installer.exe
setup.exe
Q544512.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
WMovie Maker II.exe
SEX_HOT.ex
4.病毒发作时格式化D盘
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> Anacon_Index.htm
default.htm -> Anacon_Default.htm
index.html -> Anacon_Index.html
default.html -> Anacon_Default.html
index.asp -> Anacon_Index.asp
default.asp -> Anacon_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码等
5.Worm.Nocana.b
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为不定值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Do you happy?
:Great News!
Check it out now!
Just for Laught!
PTIPs: HOW TO JUMP PC TO PC VIA INTERNET?
HFoxNews Reporter: Hello!
SARS Issue!,Get Free XXX Web Porn!, my girl!
NCrack - Download Accerelator Plus 5.3.9&Do you remember me?
The ScreenSaver: Wireless KeyboardVVBCode: Prevent Your Application From
Crack Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous
Alert! W32.Anacon.B@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
正文一般为:
Hello dear,I'm gonna missed you babe, hope we can see again!In Love,*Rekcahlem ~<>~Anacon
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000, Limewire
文件名一般为:
X-Men II Trailer.mpg.exe
The Matrix Reloaded.jpg.exe
Jonny English (JE).avi.exe
EmpireEarthII.msi.exe
JumpingJumping.exe
SuperMarioBrother.exe
YoungAndNotTooDangerous.exe
Nokia8250Series.exe
About SARS Solution.doc.exe
Dont eat pork.. SARS in there.jpg.exe
Mesmerize.exe
MSVisual C++.exe
Installer.exe
setup.exe
Q544512.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
WMovie Maker II.exe
SEX_HOT.ex
4.病毒发作时格式化D盘,删除C盘根目录下所有文件
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> Anacon_Index.htm
default.htm -> Anacon_Default.htm
index.html -> Anacon_Index.html
default.html -> Anacon_Default.html
index.asp -> Anacon_Index.asp
default.asp -> Anacon_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等
6.Worm.Nocana.c
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为不定值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Do you happy?
Just for Laught!
PTIPs: HOW TO JUMP PC TO PC VIA INTERNET?
What New in TechTV
HFoxNews Reporter: Hello!
SARS Issue!,Get Free XXX Web Porn!, my girl!
NCrack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
Code: Prevent Your Application From Crack.
Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous
Alert! W32.Anacon.C@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: fcgytudf6
Tired to Search Anonymous SMTP Server?
正文一般为:
Hello dear,I'm gonna missed you babe, hope we can see again!In Love,*Rekcahlem ~<>~ Anacon
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Jonny English (JE).avi.exe
DOOM III Demo.exe
winamp3.exe
JugdeDread.exe
Microsoft Visual Studio.exe
gangXcop.exe
Upgrade you HandPhone.exe
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
VISE.exe MSVisual C++.exe
QuickInstaller.exe
Q111023.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
InternationalDictionary.exe
EAGames.exe
SEX_HOTorCOOL.exe
4.病毒发作时格式化D盘,删除C盘根目录下所有文件
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> ANA_Index.htm
default.htm -> ANA_Default.htm
index.html -> ANA_Index.html
default.html -> ANA_Default.html
index.asp -> ANA_Index.asp
default.asp -> ANA_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等
7.Worm.Nocana.c.enc
破坏方法:启动方式:
注册表启动,相关的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\KeyValue
"%SYSDIR%\CURFILE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%SYSDIR%\CURFILE"
其中KeyValue为不定值
传播方式:
病毒通过P2P文件共享和邮件附件进行传播。
病毒行为:
1.VB写的病毒,能够终止许多诸如avp等反病毒软件
2.病毒通过邮件传染时附带一个附件,邮件的标题一般为:
Do you happy?
Just for Laught!
PTIPs: HOW TO JUMP PC TO PC VIA INTERNET?
What New in TechTV
HFoxNews Reporter: Hello!
SARS Issue!,Get Free XXX Web Porn!, my girl!
NCrack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
Code: Prevent Your Application From Crack.
Re: are you married?(1)
Download WinZip 9.0 Beta
Young and Dangerous
Alert! W32.Anacon.C@mm Worm Has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: fcgytudf6
Tired to Search Anonymous SMTP Server?
正文一般为:
Hello dear,I'm gonna missed you babe, hope we can see again!In Love,*Rekcahlem ~<>~ Anacon
附件就是病毒。
3.通过p2p传播时会复制自身到以下p2p软件的目录下:
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Jonny English (JE).avi.exe
DOOM III Demo.exe
winamp3.exe
JugdeDread.exe
Microsoft Visual Studio.exe
gangXcop.exe
Upgrade you HandPhone.exe
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
VISE.exe MSVisual C++.exe
QuickInstaller.exe
Q111023.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
InternationalDictionary.exe
EAGames.exe
SEX_HOTorCOOL.exe
4.病毒发作时格式化D盘,删除C盘根目录下所有文件
5.病毒会建立一个bat文件将下列目录文件改名:
C:\Inetpub\wwwroot\
D:\Inetpub\wwwroot index.htm -> ANA_Index.htm
default.htm -> ANA_Default.htm
index.html -> ANA_Index.html
default.html -> ANA_Default.html
index.asp -> ANA_Index.asp
default.asp -> ANA_Default.asp
6.病毒还带有一个后门,通过这个后门,病毒可以:
开关光驱,开关剪贴板,记录键盘,显示隐藏TaskBar,关闭CTRL-ALT-DEL,隐藏驱动器,偷取密码,
盗ICQ的UIN,盗取系统信息等
8.Trojan.Nethief.45.enc
破坏方法:木马网络神偷4.5的服务端
启动方式:
木马从注册表启动,相应注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
%SYSDIR%\%CURFILE%
其中KeyValue为生成服务端时的键值。
病毒行为:
1.木马运用了“反弹端口原理”与“HTTP 隧道技术”:
“反弹端口原理”:
由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代
理)上网的电脑,并且可以穿过防火墙(包括:过滤型及代理型防火墙)。
“HTTP隧道技术”:
把所有要传送的数据全部封装到 HTTP 协议里进行传送,因此在互联网上可以访问到局
域网里通过 HTTP、SOCKS4/5 代理上网的电脑,而且也不会有什么防火墙会拦截。
所以,只要能浏览网页的电脑,网络神偷都能访问!
2.服务端上线通知功能:服务端通过 UDP 协议发消息给客户端,在服务端的
“在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、
上线时间、在线时间等
9.Trojan.Nethief.45
破坏方法:木马网络神偷4.5的服务端
启动方式:
木马从注册表启动,相应注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KeyValue
%SYSDIR%\%CURFILE%
其中KeyValue为生成服务端时的键值。
病毒行为:
1.木马运用了“反弹端口原理”与“HTTP 隧道技术”:
“反弹端口原理”:
由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代
理)上网的电脑,并且可以穿过防火墙(包括:过滤型及代理型防火墙)。
“HTTP隧道技术”:
把所有要传送的数据全部封装到 HTTP 协议里进行传送,因此在互联网上可以访问到局
域网里通过 HTTP、SOCKS4/5 代理上网的电脑,而且也不会有什么防火墙会拦截。
所以,只要能浏览网页的电脑,网络神偷都能访问!
2.服务端上线通知功能:服务端通过 UDP 协议发消息给客户端,在服务端的
“在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、
上线时间、在线时间等
10.Worm.SoBig.c.enc
破坏方法:该病毒是sobig的一个新变种,病毒对其体内的字符串进行了加密处理。病毒发现系统时间为2003年6月8号
或大于8号以后将不进行传播。
该病毒运行后,将自己复制到Window目录下,文件名为:mscvb32.exe 并在注册表run项中加入自己的键值。
病毒搜索磁盘中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件。并从中提取出mail地址进行邮件传播。
邮件的标题可能为:
Re: Submited (004756-3463)
Re: Your application
Re: Movie
Re: 45443-343556
Re: Application
...
邮件的附件名为:
screensaver.scr
submited.pif
documents.pif
movie.pif
45443.pif
application.pif
病毒通过枚举本地局域网资源并试图将病毒文件复制到
周围系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp
及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
该病毒还会自动从指定网站下载文件并运行。
病毒在运行过程中会在windows目录下产生如下的数据文件
msddr.dll
msddr.dat
11.Worm.SoBig.c
破坏方法:该病毒是sobig的一个新变种,病毒对其体内的字符串进行了加密处理。病毒发现系统时间为2003年6月8号
或大于8号以后将不进行传播。
该病毒运行后,将自己复制到Window目录下,文件名为:mscvb32.exe 并在注册表run项中加入自己的键值。
病毒搜索磁盘中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件。并从中提取出mail地址进行邮件传播。
邮件的标题可能为:
Re: Submited (004756-3463)
Re: Your application
Re: Movie
Re: 45443-343556
Re: Application
...
邮件的附件名为:
screensaver.scr
submited.pif
documents.pif
movie.pif
45443.pif
application.pif
病毒通过枚举本地局域网资源并试图将病毒文件复制到
周围系统的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp
及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
该病毒还会自动从指定网站下载文件并运行。
病毒在运行过程中会在windows目录下产生如下的数据文件
msddr.dll
msddr.dat
12.Trojan.PrettyWoman
破坏方法:1.拷贝自己到系统目录,命名为DEVPAR.VXD,关联exe文件打开方式。
2.复制自己到其他目录,名称是下列之一:
Nice Holiday、Twin Towers、Fishing、The Black Hole、Pretty Woman、Anime、Internet、Office 2000、Microsoft XP、Hollywood、
James Bond、Jennifer Lopez、George Clooney、Harry Potter、Solaris、Muppets、Linuxxx、Unixxx、Mickey Mouuse、Donald Duck、
Uncle Scrooge、Fifth Avenue、Chrysler、Bultaco、Laser Games、Software、Hardware、Fantasy、Bowling、Folklife、Money、Trade
Policy、Environment、Drunk Driving、Cyberspace、Internet、Geography、Gifts、Tobacco、Office、Work、Cats、Dogs、Ducks、Sony、
Intel、Macromedia、Pioneer、Bazooka、Excel、Power Point、Microsoft Word、Open Source、The Flinstones、Newsgroup、Tactical
Weapon、Harry Potter、、wb、FLASH、EXE
13.Trojan.Letger
破坏方法:启动方式:
病毒从注册表启动。相应的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regtel
%SYSDIR%\%CURFILE%
病毒行为:
MFC写的木马,使用反弹式HTTP隧道技术,服务端会主动连接HTTP控制端80端口,
可穿透防火墙;
病毒从网站:
http://www.***.org/~shesh/Ip.txt读取配置信息,然后发病毒访问指定的IP地址<此处为网站:211.94.131.24>
在客户端即可对中毒机器进行控制;
可探测到密码为空的机器。
14.Worm.Duksten.j
破坏方法:启动方式:
病毒从注册表启动,相关注册表键值为:
HKCU\software\Microsoft\Windows\CurrentVersion\Run\mIrcProTecTor
"CURFILE%
病毒行为:
病毒会在windows的“开始”菜单添加内容,指向病毒,菜单一般为:
Norton Updates.exe
Anti-Virus ActiveScan.exe
Trucos de Windows.exe等
病毒检测网络状态,如果为连接状态,病毒则搜索Email地址并向搜索到的Email地址发送Email
15.Trojan.QQ.SendMessage12.enc
破坏方法:1.该病毒拷贝自己到系统目录,命名为sendmess.exe
2.隐藏在后台运行,频繁的写注册表的Run项。
3.查找标题是“发送消息”的QQ聊天窗口,找到后依次追加下列信息
fuckmm.kxcn.com这个站全是免费的好东西
对了到fuckmm.kxcn.com看看吧很爽啊
你看没看啊?
听听这首MTV吧http://***.ntstu.com真感人
我新发现的好站fuckmm.kxcn.com很爽的
16.Trojan.QQ.SendMessage12
破坏方法:1.该病毒拷贝自己到系统目录,命名为sendmess.exe
2.隐藏在后台运行,频繁的写注册表的Run项。
3.查找标题是“发送消息”的QQ聊天窗口,找到后依次追加下列信息
fuckmm.kxcn.com这个站全是免费的好东西
对了到fuckmm.kxcn.com看看吧很爽啊
你看没看啊?
听听这首MTV吧http://***.ntstu.com真感人
我新发现的好站***.kxcn.com很爽的
17.Win32.SnowMoon.28160
破坏方法:该病毒是YoungKing为了表达他对某个女孩的爱而写的。
这个病毒感染PE格式的EXE文件。将文件头部的0x6E00字节放在文件尾部,用自己替换。
1.生成Rundll32.exe,是病毒本身。
2.随机监听端口,等待连接。
3.生成WindFlowerSnowMoon.Love,留下病毒作者信息。
说什么如果用户机器被该病毒破坏,可以给他写信求助Youngking@student.dlut.edu.cn
18.Harm.killfiles.ac
破坏方法:病毒在当前目录下生成一个spitfire.bat并执行下列命令
ctty nul
del *.txt
del *.doc
del *.xls
del *.com
del *.dll
del *.dot
del *.bin
del *.htm
del *.ppt
del *.avi
del *.mp3
del *.src
del *.bmp
del *.cfg
del *.mpg
del *.drv
del *.vxd
del *.mdb
ctty con
执行后删除这个spitfire.bat文件
19.TrojanDownloader.Istsvc
破坏方法:启动方式:
病毒从注册表启动,相关注册表键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IST Service
"%ProgramFiles%\%CURFILE%"
病毒行为:
病毒定时检测网络状态,并从指定网页读取配置信息,网页为:
http://www.****.com/ist/scripts/istsvc_config.php。
20.TrojanDownloader.Istsvc.enc
破坏方法:启动方式:
病毒从注册表启动,相关注册表键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IST Service
"%ProgramFiles%\%CURFILE%"
病毒行为:
病毒定时检测网络状态,并从指定网页读取配置信息,网页为:
http://www.***.com/ist/scripts/istsvc_config.php。
21.Trojan.LMir2.0.c
破坏方法:1.拷贝自己若干份到系统中
LMIR.EXE、FINALMIR.EXE 、SPYING.EXE、COMIR.EXE
2.隐藏在后台运行,登记为自启动。
3.查找标题是“传奇密码终结者Ver2.0”的窗口,防止重复运行
4.查找标题是“legend of mir2”的窗口,取得传奇密码,并发送到指定邮箱。
建议用户打开“文件监控”查杀该病毒!
22.Trojan.Cn20.10
破坏方法:
启动方式:
病毒从注册表启动。相应的注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%CURBASE%
%CURFILE%
病毒行为:
VC写的木马,使用反弹式HTTP隧道技术,服务端会主动连接HTTP控制端80端口,可穿透防火墙。
23.Trojan.CqDhao.Srv.enc
破坏方法:木马Trojan.CqDhao的服务程序,此病毒将建立如下键值:
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\WinSock\PathName
"%SYSDIR%\ws2_64.dll"
同时病毒释放ws2_64.dll文件到系统目录,这个文件是真正用来盗号的DLL木马
24.Trojan.CqDhao.Srv
破坏方法:木马Trojan.CqDhao的服务程序,此病毒将建立如下键值:
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\WinSock\PathName
"%SYSDIR%\ws2_64.dll"
同时病毒释放ws2_64.dll文件到系统目录,这个文件是真正用来盗号的DLL木马
25.Trojan.Trickler.3202
破坏方法:
启动方式:
病毒从注册表启动,相关注册表键值为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Trickler
%CURFILE%
病毒行为:
病毒用VC6.0编写,后台运行,打开并监听TCP或UDP端口,等待远程连接
26.Trojan.Mardam-Bey.enc
破坏方法:1.该病毒拷贝自己到系统目录,命名为IEXPIORE.EXE。
2.在注册表中登记为自启动;修改win.ini和system.ini的启动项;
3.监听随机端口,等待连接,对本地机器进行控制。发送本地机器密码。
27.Trojan.Mardam-Bey
破坏方法:1.该病毒拷贝自己到系统目录,命名为IEXPIORE.EXE。
2.在注册表中登记为自启动;修改win.ini和system.ini的启动项;
3.监听随机端口,等待连接,对本地机器进行控制。发送本地机器密码。
28.Worm.Melare
破坏方法:启动方式:
病毒从注册表启动,相应注册健为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemSARS32
%WINDIR%\%CURFILE%
VB写的蠕虫
29.Trojan.PSW.Logmod
破坏方法:木马,修改注册表自启动:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysres "sysres.exe"
启动后驻留内存,在后台隐藏运行,窃取用户的密码。
30.Trojan.MircBKdoor
破坏方法:一个利用delphi编写的木马病毒,当该病毒运行后,将自动在系统管理组中加入一个名为iam_wsasystem的账号,并自动登录到mirc上以便通知控制者进行控制。
31.Trojan.Danton.30
破坏方法:Trojan.Danton 3.3版的客户控制台程序。可对中了服务端的系统进行远程控制。(可对远程文件,windows,进程等进行控制,及对声音,图像进行设置控制)
32.Backdoor.Client.Cafeini.09.enc
破坏方法:木马的客户端程序,通过其服务端提供的服务,可以对提供服务的主机进行控制键盘鼠标、操作注册表、控制主机所运行的进程等操作。
33.Backdoor.Client.Cafeini.10.enc
破坏方法:木马的客户端程序,通过其服务端提供的服务,可以对提供服务的主机进行控制键盘鼠标、操作注册表、控制主机所运行的进程等操作。
34.Trojan.DDoS.Gcommando
破坏方法:1.拷贝自己到系统目录,命名为IISDMLX32.EXE
2.隐藏在后台运行,监听1052端口,等待连接,对本地机器进行控制。
35.Trojan.BeastDoor.192.i
破坏方法:Trojan.BeastDoor的服务端,该病毒运行时,将自己复制到system目录下。驻留内存。接受客户端传来的控制命令。
36.Trojan.BluanWeb
破坏方法:木马Trojan.BuanWeb的服务端,修改注册表run项(加入键值名为:svch0st)驻留内存,接收客户端的控制命令。
37.Backdoor.client.cafeini.09
破坏方法:木马的客户端,主要的破坏有:
控制鼠标,键盘,光驱,所有的进程,窗体,注册表,文件系统,窃取屏幕,系统配置等
38.Backdoor.client.cafeini.10
破坏方法:木马的客户端,主要的破坏有:
控制鼠标,键盘,光驱,所有的进程,窗体,注册表,文件系统,窃取屏幕,系统配置等
39.Trojan.Snowdoor.15
破坏方法:Trojan.Snowdoor的服务端,该病毒运行后将启两份副本并进行进程相互守护,请打开监控杀毒。
40.Trojan.Snowdoor.15.enc
破坏方法:Trojan.Snowdoor的服务端,该病毒运行后将启两份副本并进行进程相互守护,请打开监控杀毒。
41.Trojan.Delf.fg
破坏方法:该病毒运行后,将自己复制到system32目录下。并修改注册表run项。加入的键名为:rundll32
42.Trojan.EggDrop.1613
破坏方法:Trojan.EggDrop的服务端,该病毒运行后将自己复制到windows目录下,并修并注册表run项。
43.Trojan.Dropper.Small.k.enc
破坏方法:此病毒启动后将体内的病毒和正常文件同时释放出来并启动,用正常的程序来掩盖病毒的运行.
44.Trojan.Iddono.20
破坏方法:Trojan.Iddono.20的服务端程序,该病毒运行修改注册表run项并驻留内存接受控制命令。
45.Trojan.Agobot.02.b.enc
破坏方法:该病毒运行后,将自己复制到system目录下,并修并注册表,驻留内存等待控制命令。
46.Trojan.Agobot.02.b
破坏方法:该病毒运行后,将自己复制到system目录下,并修并注册表,驻留内存等待控制命令。
47.Harm.OS.Reboot.enc
破坏方法:让用户选择喜欢windows还是linux,无论选择哪个,都会突然重启,使用户数据丢失。
48.Harm.OS.Reboot
破坏方法:让用户选择喜欢windows还是linux,无论选择哪个,都会突然重启,使用户数据丢失。
49.Hack.DDoS.Win32.Maker.11.enc
破坏方法:Ddos自动攻击配制生成器,根据配制信息生成一个对指定网站进行DDos攻击的程序。
50.Hack.DDoS.Win32.Maker.11
破坏方法:Ddos自动攻击配制生成器,根据配制信息生成一个对指定网站进行DDos攻击的程序。
51.Trojan.Delf.fl.Client
破坏方法:Trojan.Delf.fl的客户控制台程序,可以对中了服务端的系统进行远程控制。
52.Backdoor.Client.antilam.12.enc
破坏方法:木马的客户端程序,具有包括重新启动计算机,窃取文件,窃取屏幕等破坏性.
53.Trojan.WebAuto.Download
破坏方法:该程序运行后驻留内存,在后台偷偷访问一个网站,点击里边的一个广告。
54.Backdoor.Client.antilam.12
破坏方法:木马的客户端程序,具有包括重新启动计算机,窃取文件,窃取屏幕等破坏性.
55.Trojan.LittleWitch.61.p.enc
破坏方法:Trojan.LittleWitch的服务端程序,盗取msn的账号密码发送到指定信箱。
56.Trojan.LittleWitch.61.s.enc
破坏方法:Trojan.LittleWitch的服务端程序,盗取msn的账号密码发送到指定信箱。
57.Trojan.Delf.fn
破坏方法:Trojan.Delf.fn的服务端程序。(该程序能测出soft ice等debug工具)
58.Trojan.Delf.fn.enc
破坏方法:Trojan.Delf.fn的服务端程序。(该程序能测出soft ice等debug工具)
59.Trojan.Ciadoor.11.b
破坏方法:一个用vb编写的木马服务端,驻留内存接受并执行客户端传来的命令。
60.Hack.UniCodeExploit
破坏方法:这是利用Unicode 漏洞对指定服务器进行攻击并控制的黑客工具。
61.Trojan.Delf.fi
破坏方法:该病毒运行后驻留内存,接收并执行客户端传过来的控制命令。
62.Trojan.Delf.fi.enc
破坏方法:该病毒运行后驻留内存,接收并执行客户端传过来的控制命令。
63.Trojan.Messatr
破坏方法:木马Trojan.Messatr的服务端,驻留内存接受用户控制命令。
64.Trojan.Messatr.enc
破坏方法:木马Trojan.Messatr的服务端,驻留内存接受用户控制命令。
65.Win32.Xorala
破坏方法:一个普通的win32病毒,只感染system目录下的exe文件.
66.Trojan.Delf.fj.enc
破坏方法:该病毒运行后驻留内存,接受客户端传来的控制命令。
67.Trojan.Delf.fj
破坏方法:该病毒运行后驻留内存,接受客户端传来的控制命令。
68.Trojan.Delf.fk
破坏方法:该病毒运行后驻留内存,接受客户端传来的控制命令。
69.Trojan.Downloader.Win32.Small.q
破坏方法:自动下载器,从指定网站下载指定文件并运行该文件。
70.Trojan.PSW.Watcher.a
破坏方法:一个盗密码的木马,把盗取的密码发送到指定信箱。
71.Trojan.PSW.Watcher.a.enc
破坏方法:一个盗密码的木马,把盗取的密码发送到指定信箱。
72.Hack.WinNT.WebDav
破坏方法:Web扫描器,对指定网段的系统进行web漏洞扫描。
73.Hack.MailSpam.Groul
破坏方法:这是发送匿名信或伪装发送地址信件的黑客工具。
74.Win32.HLLP.Hantaner
破坏方法:文件的MD5计算器,用以修改一些文件校验签名。
75.Win32.HLLP.Hantaner.enc
破坏方法:文件的MD5计算器,用以修改一些文件校验签名。
76.Constructor.Iwing.101
破坏方法:IwinG is (C)2002, By. Indovirus WORM制造机
77.Trojan.Downloader.Win32.Pakfuk
破坏方法:WEB DDos攻击器,可对指定网站进行Ddos攻击。
78.Trojan.Downloader.Win32.Pakfuk.enc
破坏方法:WEB DDos攻击器,可对指定网站进行Ddos攻击。
79.Hack.ScanNet.11
破坏方法:这是扫描并发现存在漏洞的服务器的黑客工具。
80.Hack.IRC.IRCSpam
破坏方法:这是一个利用IRC漏洞进行攻击的黑客工具。
81.Hack.IRC.IRCSpam.enc
破坏方法:这是一个利用IRC漏洞进行攻击的黑客工具。
82.Trojan.GhostSpy.51.Dll
破坏方法:这是偷帐号、密码的木马使用的动态连接库。
83.Trojan.Nethief.Client.45.enc
破坏方法:木马网络神偷4.5的客户端+服务端生成器
84.Trojan.Nethief.Client.45
破坏方法:木马网络神偷4.5的客户端+服务端生成器
85.Trojan.CqDhao.Dll.enc
破坏方法:木马Trojan.CqDhao用来盗号的的dll文件
86.Trojan.CqDhao.Dll
破坏方法:木马Trojan.CqDhao用来盗号的的dll文件
87.Trojan.Exploiter.13.f
破坏方法:Trojan.Exploiter.13.f的服务端程序。
88.Hack.SMS.Mehm.11.enc
破坏方法:黑客工具,可以对指定地址进行攻击
89.Trojan.Antilam.20.m.enc
破坏方法:Trojan.Antilm 服务端配置生成器。
90.Hack.BotNet
破坏方法:黑客工具,可以对指定地址进行攻击
91.Trojan.Delf.fh.Clinet.enc
破坏方法:Trojan.Delf.fh的客户端控制程序。
92.Trojan.NetCrack.13.c.enc
破坏方法:Trojan.NetCrack.13的服务端程序。
93.Trojan.Antilam.20.m
破坏方法:Trojan.Antilm 服务端配置生成器。
94.Trojan.Delf.fh.Clinet
破坏方法:Trojan.Delf.fh的客户控制台程序。
95.Hack.Yahoo.VB.a
破坏方法:黑客工具,可以对指定地址进行攻击
96.Hack.Yahoo.VB.b
破坏方法:黑客工具,可以对指定地址进行攻击
97.Trojan.Kalash
破坏方法:木马Trojan.Kalash的服务端程序。
98.Trojan.Agobot.02.c
破坏方法:Trojan.Agobot.02的服务端程序。
99.Trojan.Agobot.02.d
破坏方法:Trojan.Agobot.02的服务端程序。
100.Trojan.Agobot.02.e
破坏方法:Trojan.Agobot.02的服务端程序。
101.Trojan.Katherdoor.305.e
破坏方法:Trojan.Katherdoor的服务端程序
102.Trojan.Bancodor
破坏方法:Trojan.Bancodor的服务端程序。
103.Trojan.NetCrack.13.c
破坏方法:Trojan.NetCrack的服务端程序。
104.Trojan.NetBull.11.make
破坏方法:生成病毒Trojan.NetBull.11.dat
105.Trojan.EliteSpyz.4
破坏方法:黑客工具 Elite Spyz V4.exe
106.Trojan.Delf.cq
破坏方法:Trojan.Delf.cq的服务端程序。
107.Trojan.Delf.fo
破坏方法:Trojan.Delf.fo的服务端程序。
108.Hack.DarkSpot
破坏方法:这是进行网络轰炸的黑客工具。
109.Flooder.MailSpam.Hotmail.a
破坏方法:Hotmail的垃圾邮件产生程序。
110.Trojan.Agobot.02.c.enc
破坏方法:Trojan.Agobot.02的服务端。
111.Trojan.Agobot.02.d.enc
破坏方法:Trojan.Agobot.02的服务端。
112.Trojan.Agobot.02.e.enc
破坏方法:Trojan.Agobot.02的服务端。
113.Hack.MSN.VB.u
破坏方法:黑客工具,针对MSN进行攻击
114.Trojan.XLog.221.ser
破坏方法:Trojan.Xlog的服务端程序。
115.Hack.Sniffer.Advanfer
破坏方法:嗅探icq密码的黑客工具。
116.Hack.Sniffer.Advanfer.enc
破坏方法:嗅探icq密码的黑客工具。
117.Hack.MSN.Sticker
破坏方法:黑客工具,针对MSN进行攻击
118.Trojan.MoSucker.30.d
破坏方法:一个用vb编写的木马病毒。
119.Hack.ICQ.Raptof.01.enc
破坏方法:试探icq密码的黑客工具
120.Hack.ICQ.Raptof.01
破坏方法:试探icq密码的黑客工具
121.Trojan.NetBull.11.Dat.enc
破坏方法:基于控制台的后门程序。
122.Trojan.NetBull.11.Dat
破坏方法:基于控制台的后门程序。
123.Flooder.MailSpam.XMas.35
破坏方法:X-Mas 2000 Mail Bomber
124.Trojan.CqDhao.enc
破坏方法:传奇盗号器配制生成器。
125.Trojan.CqDhao
破坏方法:传奇盗号器配制生成器。
126.Flooder.SMS.Bomber.102
破坏方法:SM Bomber,短消息炸弹。
127.Hack.IpcScan.160
破坏方法:这是IPC扫描黑客工具。
128.Hack.MailSpam.NetControl
破坏方法:轰炸邮箱的黑客工具。
129.Hack.MailSpam.NetControl.enc
破坏方法:轰炸邮箱的黑客工具。
130.Hack.MailSpam.Delf.b
破坏方法:轰炸邮箱的黑客工具。
131.Hack.MailSpam.Delf.c
破坏方法:轰炸邮箱的黑客工具。
132.Hack.MailSpam.Messager
破坏方法:轰炸邮箱的黑客工具。
133.Hack.MailSpam.Delf.c.enc
破坏方法:轰炸邮箱的黑客工具。
134.Trojan.Rcmd
破坏方法:修改注册表,自启动。
135.Hack.MailSpam.Delf.b.enc
破坏方法:轰炸邮箱的黑客工具。
136.Flooder.SMS.Icqsms.32
破坏方法:Icq Sms Bomber v3.2
137.Flooder.SMS.Bomber.h
破坏方法:vb程序
SMS BOMBER
138.Trojan.PSW.Platan.f
破坏方法:发送Email的病毒
139.Trojan.Death.27.f
破坏方法:一个木马病毒。
140.Constructor.Macro.Ultras
破坏方法:宏病毒产生程序
141.Worm.Win32.Fasong
破坏方法:一个worm病毒。
142.Hack.Exploit.RpcLocator
破坏方法:溢出工具。
143.VirTool.Win32.VirGen
破坏方法:病毒产生程序
144.Flooder.SMS.Bomber.12213
破坏方法:SMS bomber
145.Constructor.Xinon.11a
破坏方法:winspy 1.00
146.Flooder.SMS.Bomber.j
破坏方法:SMS Bomber
147.Constructor.Macro.Ultras.10
破坏方法:病毒生产机
148.Hack.Exploit.CAN-2003
破坏方法:溢出工具。
149.Worm.Melare.enc
破坏方法:VB写的蠕虫
150.Hack.Exploit.CAN-2003.enc
破坏方法:溢出工具。
151.Flooder.AIMPuntFinal
破坏方法:黑客工具
152.Trojan.XLog.221.Client
破坏方法:客户端
153.Trojan.VB.dw
破坏方法:木马
154.Trojan.Psw.kesk.b
155.Trojan.PSW.Horse.a
156.Trojan.Dropper.Small.k
157.Trojan.PSW.Mike
158.Trojan.PSW.Maul
159.Trojan.PSW.Watcher.b
160.Junk.Fizzer
脚本病毒(46)
161.Vbs.Worm.Merlin.c
破坏方法:1.这个脚本发送携带病毒的信件,标题是 "Re: Microsoft Security Bulletin"
正文是
You need ActiveX enabled if you want to see this e-mail.
Please open this message again and click accept ActiveX
Microsoft
假借Microsoft的名誉,欺骗用户。
2.枚举网络可写目录,每个路径拷贝一个病毒。
3.破坏下列系统关联
".JS", ".DOC", ".GIF", ".JPG", ".HTT", ".BMP", ".AVI", ".MPG", ".SHS", ".MP3"
指向病毒。
162.Vbs.Worm.Merlin.b
破坏方法:1.这个脚本发送携带病毒的信件,标题是 "Re: Microsoft Security Bulletin"
2.枚举网络可写目录,每个路径拷贝一个病毒。
3.破坏下列系统关联
".JS", ".DOC", ".GIF", ".JPG", ".HTT", ".BMP", ".AVI", ".MPG", ".SHS", ".MP3"
指向病毒。
163.Vbs.Dr.Bobo
破坏方法:这个病毒发送携带病毒的信件
标题是"You have win 1 000 000$"
内容是
You have win 1 000 000$
Look in attachment for more info.
诱骗用户运行附件,其实那是病毒文件。
该病毒利用mIRC来传播自己。
164.Vbs.Worm.Merlin
破坏方法:这个病毒试图感染vbs文件,删除doc文件;
发送携带病毒的邮件,标题是WindowsXP Betatest
试图修改mIRC脚本传播自己。
165.Vbs.GuessGame
破坏方法:这个脚本发送携带病毒的邮件,标题包含Are you my valentine?
166.Vbs.GuessGame.b
破坏方法:这个脚本发送携带病毒的邮件,标题包含Are you my valentine?
167.Bat.IRC.Zcrew.b
破坏方法:这个脚本是木马释放的,用来将硬盘所有盘符共享。
168.BAT.Trojan.Melissa.ad
169.BAT.Trojan.Nahal.b
170.BAT.Kaskad.b
171.BAT.Trojan.Pompos.a
172.BAT.Trojan.Pompos.i
173.BAT.Trojan.SexTest
174.BAT.Trojan.Sleepe
175.BAT.Trojan.Spam
176.BAT.Trojan.Spy.KBMan
177.BAT.Trojan.Steel.a
178.BAT.Trojan.Steel.b
179.BAT.Trojan.Vevat
180.BAT.Trojan.Virri.a
181.BAT.Trojan.Virri.g
182.BAT.Trojan.Virri.m
183.BAT.Zorm
184.VBS.Weim
185.VBS.Xxx
186.VirTool.VBS.Crypter.b
187.VirTool.VBS.Crypter
188.VBS.Godog
189.VBS.Win32.Jethro
190.VBS.Win32.Younga
191.VBS.Maniz
192.VBS.Mawanella
193.VBS.Merlin.b
194.VBS.Merlin.c
195.VBS.Merlin
196.VBS.Mood
197.VBS.Msnb
198.VBS.Nemit
199.VBS.Noon.b
200.VBS.Noon
201.VBS.Noth
202.VBS.Numgame
203.VBS.Peach
204.VBS.Petik.i
205.VBS.Petik.j
206.VBS.Petik.a
普通文件病毒(1)
207.Worm.Duksten.B64
破坏方法:病毒Worm.Duksten.j用来生成zip文件的base64编码文件。
对此文件base64解码就会得到一个zip文件。