Kelvir.12 駭蟲使用兩種技術散播,第一種是透過MSN Messenger傳送一個含有連結訊息給所有連絡人,第二種是駭蟲複製到P2P檔案分享軟體資料夾進行散播。此駭蟲還會從某個網站下載惡意檔案,使安全和防毒的系統服務失效,電腦因此容易再被其他病毒感染。
基本介紹:
病毒名稱:[email protected]
病毒別名:WORM_KELVIR.DD[trendmicro]
病毒型態:Worm , P2P , MSN
病毒發現日期:2005/12/08
影響平台:Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估:
散播程度:高
破壞程度:高
[email protected]ir.12 行為描述:
註:%Windir%代表系統所在目錄,在Win95/98/me系統預設值為 C:\windows
在WinNT/2000/XP/2003系統預設值為 C:\WinNT
駭蟲會透過MSN Messenger和P2P檔案分享應用程式散播病毒。
駭蟲會將病毒複製到下列P2P檔案分享應用程式的分享資料夾裡:
eMule
Limewire
Shareaza
駭蟲試圖從下列URL下載一個檔案:
http://www.jls{BLOCKED}ns.co.uk/images/cool/omg.pif
駭蟲使下列安全和防毒的服務失效:
AVG anti virus
AVG Antivirus
Intel Alert Handler
Intel Alert Originator
Intel File Transfer
Intel PDS
McAfee Firewall
McAfee Personal Firewall Service
McAfee virus scan
Mcshield
病毒執行後,將駭蟲本身複製到%Windir%
SERVICE.EXE
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Service = "%Windows%\service.exe"
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Service = "%Windows%\service.exe"
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Service = "%Windows%\service.exe"
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Service "%Windows%\service.exe"