|
| email-worm.win32.ghost.x 分析 |
| 来源:网络 时间:2006-5-31 |
|
病毒标签:
病毒名称: email-worm.win32.ghost.x
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 61,440 字节
感染系统: windows 9x 以上版本
开发工具: microsoft visual basic 5.0 / 6.0
病毒描述:
该病毒主要通过遍历 outlook的地址列表,获取email地址并发送病毒邮件,病毒运行后会打开病毒当前所在目录。 病毒运行后将会把自己复制到 "%windir%\fonts"目录下。修改注册表键,将释放后的病毒属性设置为隐藏,添加启动项,从而达到随系统启动的目的。病毒运行后,会释放病毒体到系统盘根目录下"windows.exe"、"ghost.bat".
行为分析:
1 、 病毒第一次运行时将会把自己复制到 "%windir%\fonts" 目录下,文件名为随机的数字和字母组合,文件扩展名为 com 。
2 、 修改以下注册表键,
添加启动项,从而使 "%windir%\fonts" 下的病毒随系统启动,该病毒文件名为 5 位随机字符
hkey_local_machine\software\microsoft\windows\currentversion\run
值: "tempcom"=< 随机数字和字符 >.com 。
用于隐藏病毒文件:
hkey_current_user\software\microsoft\windows\currentversion
\explorer\advanced 值: "hidefileext" hkey_current_user\software\microsoft\windows\currentversion
\explorer\advanced 值: "hidden"
修改键:
hkey_current_user\software\microsoft\windows\currentversion
\explorer\cabinetstat 值 "fullpath" = "1"
3 、遍历 outlook 的地址列表,并发送病毒邮件。 主题: document, 附件: document.exe
4 、释放病毒体: "%windir%\fonts" 目录下的病毒运行后,会释放病毒体 "windows.exe" 、 "ghost.bat" 到系统盘根目录。 搜索系统盘根目录下的文件夹,并在文件夹中释放一个与该文件夹同名的文件,实为病毒复本。
|
|
|
|
|
