概述
病毒別名:
處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
特性
這是一個通過msn傳播的蠕蟲病毒,釋放兩個病毒win32.hack. sdbot.wt和Worm.kelvir.8192。用戶電腦會連線到irc伺服器,接受黑客控制,下栽病毒程式,竊取用戶信息;弱猜測其他計算機密碼;隨機開放本地連線埠;堵塞網路。
1,病毒命名為%username%@hotmail.com。釋放兩個帶毒檔案:uncanny.exe(Worm.kelvir.8192)和advbot.exe(win32.hack. sdbot.wt)
2,win32.hack. sdbot.wt會產生以下影響:
a,拷貝自身到以下目錄:
%system%\msngms.exe
b,修改註冊表,在以下鍵中增加鍵值:“Msn Configuration Loader=msngms.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
偽裝成msn配置程式,在用戶開機的時候達到自啟動的目的
c,連線到irc伺服器,用戶計算機會完全被黑客控制,可以下載mydoom蠕蟲並執行,造成網路堵塞。
d,竊取用戶電腦上的遊戲cd號,如FIFA2000,Half-Life等。
e,弱猜測其它計算機密碼,如:winxp,password,12345,google等。若成功,則把自身複製到計算機中,竊取用戶信息。
f,隨機開放本機一個連線埠,這個連線埠可以被用來感染計算機
3,Worm.kelvir.8192會產生以下影響:
a,通過msn傳送一個連結"http:// xxxx.net/pictures.php?email=xxxx",當用戶點擊後,%username%@hotmail.com 會被下載並執行。
