病毒标签
病毒名称: Email-Worm.Win32.Ghost.X
病毒类型: 邮件蠕虫
危害等级: 中
文件长度: 61,440 字节
感染系统: windows 9x 以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
病毒描述
该病毒主要通过遍历 OUTLOOK的地址列表,获取email地址并发送病毒邮件,病毒运行后会打开病毒当前所在目录。 病毒运行后将会把自己复制到 "%WINDIR%FONTS"目录下。修改注册表键,将释放后的病毒属性设置为隐藏,添加启动项,从而达到随系统启动的目的。病毒运行后,会释放病毒体到系统盘根目录下"WINDOWS.EXE"、"GHOST.BAT"。
行为分析
1 、 病毒第一次运行时将会把自己复制到"%WINDIR%FONTS"目录下,文件名为随机的数字和字母组合,文件扩展名为COM 。
2 、 修改以下注册表键, 添加启动项,从而使 "%WINDIR%FONTS" 下的病毒随系统启动,该病毒文件名为 5 位随机字符
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
值: "TempCom"=< 随机数字和字符 >.com 。
用于隐藏病毒文件:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 值: "HideFileExt"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 值: "Hidden"
修改键:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetStat 值 "fullpath" = "1"
3 、遍历 OUTLOOK 的地址列表,并发送病毒邮件。 主题: Document, 附件: Document.exe 。
4 、释放病毒体: "%WINDIR%FONTS" 目录下的病毒运行后,会释放病毒体 "WINDOWS.EXE" 、 "GHOST.BAT" 到系统盘根目录。 搜索系统盘根目录下的文件夹,并在文件夹中释放一个与该文件夹同名的文件,实为病毒复本。
--------------------------------------------------------------------------------
清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!