良性病毒类似“禽兽”　借传播发寻人启事

新客网 XKER.COM 2007-10-25 来源：温博收藏本文

今天客服的温同学收到一个弹出“我是徐明，不好意思打扰了”的病毒，一看就是学生编写的。有趣的是他好像在找一个叫“莫言英”的女子。病毒的手法和“禽兽”很相似，具体的请看下面做的简单的分析（本分析报告来源于温同学原创）。

病毒的简单分析如下：

病毒添加注册表项目：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <xmstart><xuming.exe>   []

各个盘符下留下

[AutoRun]
open=xuming.exe
shellexecute=xuming.exe
shell\打开(&O)\command=xuming.exe

病毒释放如下主要文件：

%systemroot%\system32\xuming.exe
%systemroot%\system32\dllcache\gnimux.exe 
%systemroot%\system32\xuming1.vbs 
%systemroot%\system32\xmreg.reg 
%systemroot%\system32\pslist.exe
%systemroot%\system32\xmhold.bat 
%systemroot%\system32\istart.bat
%systemroot%\xmmsg.vbs
%HOMEDRIVE%\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\xuming.exe
%systemroot%\system32\myy.txt

修改文件夹选项，截图如下：

病毒会关闭所有Wscript.exe，重新带参数启动自己的脚本。如果发现被关闭的话会重新创建进程，不断ping本地回环地址。从%systemroot%\system32\xuming.exe和%systemroot%\system32\dllcache\gnimux.exe 中复制丢失的文件。关闭任务管理器，如果不隐藏运行，则取当前时间的小时的个位弹出恶作剧代码。

关于恶作剧部分，病毒运行后文件夹会不断闪动是由于病毒将C、D、E盘符下的文件树记录到%systemroot%\system32\myy.txt里面，之后寻找是否有叫“莫言英”的文件或者文件夹，如果有会弹出：“您好，在您的电脑里发现了名为莫言英的文件或文件夹，您是莫言英吗？”如果没有则弹出：“我是徐明，不好意思打扰了。”

上一篇：“Skype防毒助手”伪装防毒插件盗窃用户密码下一篇：痴情男借病毒网上寻旧爱　机理类似“禽兽”

【收藏】【评论】【推荐】【投稿】【打印】【关闭】

良性病毒类似“禽兽” 借传播发寻人启事

良性病毒类似“禽兽”　借传播发寻人启事