病毒全名Win32.VcingT.ph.204808
病毒长度204808
威胁级别★★
中文名称磁碟机最新变种
病毒类型混合型病毒,具备感染、蠕虫、木马的综合特征
病毒简介该病毒运行后,会在各磁盘根目录产生autorun病毒。并感染所以符合条件的exe文件,可能造成用户文件损坏,并从网络下载更多的病毒,其中含有arp欺骗病毒,可能对局域网产生极大影响,毒霸目前可修复所有被绝大多数感染exe文件。
1.病毒运行后,生成以下病毒文件
c:\WINDOWS\system32\Com\lsass.exe
c:\WINDOWS\system32\Com\smss.exe
c:\WINDOWS\system32\Com\netcfg.dll
c:\WINDOWS\system32\Com\netcfg.000
c:\WINDOWS\system32\dnsq.dll
c:\WINDOWS\system32\drivers\alg.exe (ARP病毒)
c:\037589.log
2.在各盘目录下,autorun.inf和相应的pagefile.pif病毒文件。
3.病毒运行后,感染所有非系统分区下符合条件的exe文件及rar,zip压缩包内的exe文件。
4.感染非系统分区下面的htm,html等网页文件,添加挂马代码。
5.破坏众多安全软件的运行。
6.将自己添加到"C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.xxxxxx"进行自启动(xxxxxx为随机数字)。
据部分网友反馈的情况,这个文件很难被删除,一个解决的思路是,修改“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”文件夹的高级属性,将所有用户组修改此文件夹的权限删除。使用磁碟机专杀之后,立即重启。这样的话,病毒也没办法向这个目录写入文件。
7.病毒会先访问
http://w.XXX.com/r.htm
获取一个病毒文件列表,用户若安装有防火墙可拦截到此操作。
8.病毒通过IE浏览器连接到网络下载上述列表中的的病毒。
9.列表中含有盗号木马,ARP欺骗病毒等,将对同局域网用户造成极大影响,甚至造成局域网瘫痪。
评论Feed: http://www.85815.com/feed.asp?q=comment&id=1153
引用链接: http://www.85815.com/trackback.asp?id=1153&key=
这篇日志没有评论.
