概要
病毒別名:Worm.Win32.Deborm.am 【AVP】
處理時間:
威脅級別:★★
中文名稱:區域網路垃圾蟲
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
這是一個蠕蟲病毒,它是通過區域網路傳播的。它會開啟139(NetBIOS)連線埠,嘗試登入區域網路內的其他機器,如果成功等入,就將病毒拷貝到系統的啟動目錄下,並通過添加註冊表啟動項來實現病毒的開機自啟動。對於NT系統,該病毒還會清除Security日誌。
1)將病毒拷貝到如下目錄:
%SystemDriver%\WINDOWS\Start Menu\Programs\Startup
%SystemDriver%\WINNT\Profiles\All Users\Start Menu\Programs\Startup
%SystemDriver%\Documents and Settings\All Users\Start Menu\Programs\Startup
2)添加註冊表啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"隨機鍵值名稱"="病毒路徑"
如果是Win95,Win98,Winme系統,病毒還會添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"NetBIOS Worm"="病毒路徑"
3)以如下用戶名登入到區域網路內的其他機器:
Administrator
Guest
Owner
4)開啟139(NetBIOS)連線埠
