| |
危险等级:★★★
病毒名称:Worm.Win32.VB.zbm
截获时间:2008.03.04
入库版本:20.34.11
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
清除难度:困难
破坏力:低
这是一个用Virtual Basic语言编写的一个蠕虫病毒。
该病毒运行后,定位到瑞星杀毒软件的安装目录,运行Setup.exe程序,利用鼠标模拟点击将瑞星杀毒软件卸载.
病毒将自身更名为bsmain.exe复制到系统%SYSTEM32%目录中.并在注册表当中的HKLMSoftwareMicrosoftWindowsCurrentVersionRun里新建一个名为"bsmain.exe"的键值,内容为"%SYSTEM32%bsmain.exe",接着修改system.ini文件中的[Boot]项里添加"SHELL" explorer.exe %SYSTEM32%bsmain.exe.修改以上两个地方实际是为实现病毒的开机自启动.接着修改txtfileshellopencommand的默认键值为"%SYSTEM32%bsmian.exe %1 *",修改后当用户打开后缀为txt的文件时,就会启动该病毒.病毒还会修改文件的映像劫持.在"SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options"子键里的如下各项:
AppSvc32.exe
avgrssvc.exe
ccSvcHst.exe
EGHOST.exe
IceSword.exe
KASTask.exe
AV32.exe
KAVDX.exe
KAVPF.exe
KMFilter.exe
KPfwSvc.exe
KVMonXP.kxp
KvReport.kxp
KVSrvXP.exe
kvupload.exe
KvXP.kxp
KvXP_1.kxp
mcconsol.exe
Navapw32.exe
PFWLiveUpdate.exe
QQDoctor.exe
Rav.exe
RavTask.exe
rfwmain.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
SmartUp.exe
TrojanDetector.exe
TrojDie.kxp
UmxAgent.exe
UmxCfg.exe
upiea.exe
USBCleaner.exe
在以上各键值中添加"Debugger" = "%SYSTEM32%bsmain.exe".
病毒会感染除去系统分区的其它分区的所有文件,被感染的文件会被修改成病毒文件,而且不能还原.
该病毒的图标和版本信息伪装成瑞星杀毒软件的图标和版本信息,这样对用户有一定的欺骗作用,使用户轻易上当并运行该病毒.有一定的危害力。 |
