Worm.AutoRun.80939

病毒名称(中文):病毒别名:威胁级别:★☆☆☆☆病毒类型:蠕虫病毒病毒长度:80939影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个蠕虫病毒，进入用户系统后就执行病毒作者指定的破坏行为，如感染文件、自动传播等。

在磁盘中释放出以下文件:

C:Documents and SettingsAll Userszyndf16.ini

C:WINDOWSSYSTEMzyndle080917.exe

C:WINDOWSSYSTEMzyndld32080917.dll

C:WINDOWSSYSTEMzyndld32080917jt.dll

在磁盘中删除了以下文件:

C:WINDOWSSYSTEMzyndld32080917jt.dll

在注册表中设置了以下信息:

"HKLMSystemCurrentControlSetServicesTcpipParameters" "Hostname" "eunet.no"

"HKLMSystemCurrentControlSetServicesTcpipParameters" "Domain" "eunet.no"

会从以下注册表中读取信息:

"HKCRCLSID"

"HKLMSystemCurrentControlSetServicesTcpipParameters"

"HKLMSoftwarePoliciesMicrosoftSystemDNSclient"

病毒会连接作者指定的网址:

http://127**.0.*/*j.asp

域名:"127.0.0.1" 端口:80 (TCP)

127.0.0.1/tj.asp

在磁盘中创建以下配置文件:

C:Documents and SettingsAll Userszyndf16.ini "Tick" "567522"

C:Documents and SettingsAll Userszyndf16.ini [mydown] "old_exe" ""

C:Documents and SettingsAll Userszyndf16.ini [mydown] "old_dll32" ""

C:Documents and SettingsAll Userszyndf16.ini [mydown] "old_dll32_ls" ""

C:Documents and SettingsAll Userszyndf16.ini [mydown] "ver" "080917"

C:Documents and SettingsAll Userszyndf16.ini [mydown] "fn_exe" "C:WINDOWSSYSTEMzyndle080917.exe"

C:Documents and SettingsAll Userszyndf16.ini [mydown] "regstart" "nmzy_df"

C:Documents and SettingsAll Userszyndf16.ini [mydown] "fn_dll" "C:WINDOWSSYSTEMzyndld32080917.dll"

C:Documents and SettingsAll Userszyndf16.ini [mydown] "fn_dll_ls" "C:WINDOWSSYSTEMzyndld32080917jt.dll"

在系统中创建了以下进程:

病毒创建了一个CLSID为 {FCFB3D23-A0FA-1068-A738-08002B3371B5} 类名为 VBRuntime 的 COM 组件

病毒创建了一个CLSID为 {E93AD7C1-C347-11D1-A3E2-00A0C90AEA82} 类名为 VBRuntime6 的 COM 组件

病毒会通过以下途径传播:

病毒会利用网络进行传播

• ·鲁菲尼氏小体
• ·无际禅师亭
• ·西社镇
• ·201不锈钢
• ·洪相乡
• ·项目设计与计划
• ·夏家营镇
• ·天宁镇
• ·公共经济学案例分析
• ·区域发展与区域规划