病毒別名
: 處理時間:2006-08-21 威脅級別:★★中文名稱: 病毒類型:蠕蟲影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1:拷貝檔案C:\WINDOWS\shellnew\sempalong.exe
C:\WINDOWS\eksplorasi.exe
C:\Documents and Settings\【user】\Local Settings\Application Data\smss.exe
C:\Documents and Settings\【user】\Local Settings\Application Data\services.exe
C:\Documents and Settings\【user】\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\【user】\Local Settings\Application Data\inetinfo.exe
2:更改註冊表
病毒會更改以下的註冊表值
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
Bron-spizaetus -> c:\windows\shell new\sempalog.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus -> C:\Documents and Settings\【user】\Local Settings\Application Data\smss.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Winlogon
Shell -> Explorer.exe "C:\Windows\eksplorasi.exe"
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Policies\Explorer
NoFolderOptions -> 1
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced
Hidden -> 0
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced
HideFileExt -> 1
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced
ShowSuperHidden -> 0
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Policies\System
DisableRegistryTools -> 1
使得病毒可以隨Windows啟動
並且禁用了註冊表編輯器,隱藏了資料夾選項設定視窗
3:枚舉桌面的視窗
病毒會不斷的枚舉桌面的視窗,一但發現視窗帶有特定的字元的如"Anti","MON","REG"等
就會立刻重啟計算機,嚴重影響了用戶的日常工作。
4:傳播自己
病毒會尋找outlook地址本裡面的郵件地址,會後向這些郵件地址傳送帶病毒的郵件,使更多的人感染這個病毒。
