病毒名称:W32.Klez.H@mm
病毒大小:大约90K
瑞星命名:Worm.Klez.L
W32.Klez.H(Worm.Klez.L)是一个被更改过的W32.Klez.E@mm,这个变种可以通过Email和网络共享传播,感染文件。
如果病毒被运行后,病毒会将自身拷贝到SYSTEM目录下取名为Wink[随机字符].exe。
病毒在注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下添加:
Wink[随机字符] %System%\Wink[随机字符].exe
或者创建:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[随机字符]并添加一个键值,使得系统启动时病毒也可以运行。
病毒试图通过停止一些进程来终止反病毒软件以及阻止一些蠕虫的运行,病毒会删除下列文件:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
病毒还会将自身拷贝至本地、映射网络驱动器中,文件名可能为:
双扩展名的随机文件,如Filename.txt.exe
双扩展名的.rar文件,如Filename.txt.rar
病毒会搜索Windows地址簿、ICQ数据库及本地文件中的所有邮件地址,并将自己作为邮件的附件发送给上述邮件地址,病毒有自己的SMTP引擎。
带毒邮件的主题、邮件正文、附件名称都是随机的,其邮件来源(From:项)是从被感染机器上所找到的邮件地址中随机选取的。
病毒从如下后缀名的文件中搜索邮件地址:
.mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
1
2
下一页>>
