首页 > 进程查询
设为首页 加入收藏

搜索进程或DLL的信息,如explorer.exe

进程查询 > 启动.scr

启动.scr

进程文件启动.scr

ad

进程名称 Worm.Wukill.e
英文描述 N/A
进程分析一、 病毒首次运行时,什么反应也没有,悄悄将自己复制到系统的字体路径(比如C:\WINNT\FONTS\)。名称是四位随机数字和字母,扩展名为com。 病毒之所以采用这个路经,是因为在文件管理器中,只会显示这个路径里的字体文件,其他类型的文件不会被显示。
病毒在注册表的启动项添加“TempCom”。系统下次启动,会运行病毒程序 。
二、 病毒修改注册表的系统设置,隐藏已知的类型的文件后缀名称、不显示具有隐藏属性的文件,把自己伪装成一个文件夹。
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\HideFileExt = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden = 0x0
三、 病毒会把自身复制到多个文件夹下面
1.%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr (win2000和winxp系统)
2. A:\Explorer.EXE
A:\WINDOWS.EXE
3. 枚举磁盘目录,在每个根目录下释放下列文件:
WINDOWS.EXE 病毒主体程序
coment.htt 利用IE漏洞调用同一个目录下的WINDOWS.EXE,属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用coment.htt ,从而激活病毒。
4.在根目录下释放NetHood.htm。
用户看不到coment.htt和desktop.ini,WINDOWS.EXE被隐藏后缀名,又是文件夹图标,用户极容易认为是文件夹而点击。
四、病毒使用“cmd /c net view >D:\net.txt ”命令查找网络上的计算机,试图感染更多用户电脑。病毒名称采用上级目录,或者是当前窗口的标题,增加欺骗性。
五、病毒也使用regedit.exe,而且隐藏在系统目录。
六、病毒调用Outlook发送携带病毒的信件。 发信人邮箱为“Mywoman@163.com”搜索Microsoft Outlook地址薄里的所有邮件地址,将自己以邮件附件的形式发出去,试图感染更多用户电脑。
该病毒文件属性包含:gy,Xgtray。
进程位置 「开始」菜单
程序用途 感染更多的机器,发送带毒邮件。
作者
属于 未知
安全等级 4 (N/A无危险 5最危险)
间碟软件
广告软件
病毒
木马
系统进程
应用程序
后台程序
使用访问
访问互联网

ad

别人正在查

常备实用查询