感染型下载者“仇英”蠕虫,不知大家是否还记得?
今天,有网友向我们提供了其最新的变种,同样也会感染exe文件。用手头的杀毒软件检测了一下,毒霸的启发式报Win32.Malware.unknown.25088,Kaspersky的启发式也报。提醒广大用户小心!
变种的文件名与以往相同Lying.exe,大小在25,088字节,MD5值为ac50a0ac28df451aecc4b66494603ab6。
运行后,会生成
%Documents and Settings%\Users\Local Settings\Temp\Lying.exe(病毒本身,具有系统、隐藏属性)
同时往各分区的根目录下添加
X:\Lying.exe
X:\Autorun.inf
Autorun.inf的内容:
[C:\]
[AutoRun]
open=Lying.exe
shellexecute=Lying.exe
shell\Auto\command=Lying.exe
添加注册表启动项键值:
HKLM\Software\
Microsoft\Windows\CurrentVersion\Run,
"Lying" = "%Documents and Settings%\Users\Local Settings\Temp\Lying.exe"
HKLM\Software\
Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
"CheckedValue" = "2"
会远程下载一个PcClient的变种:
http://maofeng888.w23.cndns.com/m<removed>.exe
大小27,329 字节,MD5值为b68f15899511c267cf2491490df56b2c,Kaspesky检测为Backdoor.Win32.PcClient.hv。
2007.4.23 23:35第一次更新:
Kaspersky最新库将会命名为Worm.Win32.Delf.bw
收藏
推荐
评论(0条)
