如题所述
当使用QQ聊天时,可能会接收到包含链接的消息,如:"向你介绍一个好看的动画网: http://flash2.533.net"。点击该链接后,病毒会利用IE的漏洞尝试创建sys和tmp文件的执行关联,并下载名为"b.sys"的病毒文件。如果IE已安装补丁,用户会被提示安装一个插件,通常安装在%Windows%Downloaded Program Files%的文件夹中,文件名为"b.exe"。若用户拒绝,病毒会持续弹窗要求安装。
病毒在系统中的活动包括将自身复制到%SystemRoot%文件夹,文件名为"Rundll32.exe";复制到"C:\cmd.exe";并试图在共享目录中放置"病毒专杀.exe"和"周杰伦演唱会.exe"。为了持久运行,它会添加注册表启动项,设置在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的"LoadPowerProfile"键,使其以随机方式启动。
病毒修改.exe文件的关联,使其在执行时优先运行病毒副本,修改注册表键值为:HKEY_CLASS_ROOT\exefile\shell\open\command。同时,它会新增.sys和.tmp文件的执行关联,分别在HKEY_CLASS_ROOT\sysfile\shell\open\command和HKEY_CLASS_ROOT\tmpfile\shell\open\command键下设置默认值。试图获取传奇游戏的密码后,病毒会通过内置邮件引擎,以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"邮箱。
在Windows 2000、WinXP和Win2003系统中,由于系统会自动保护"Rundll32.exe"文件,病毒试图覆盖此文件的尝试会失败,导致病毒无法正常运行。但病毒仍然可以通过exe文件的关联进行加载。
扩展资料
该病毒首次大规模爆发是在今年的2月18日,2月24日又出现一个类似的变种。3月下旬,该病毒又出现3个变种,增加了猜密码的功能。5月13日,该病毒再次大规模爆发,新变种完善了已有的功能,添加了感染可执行文件,反安全软件,监控内存,盗取信息等多种能力,此后又发展了多个变种,几乎使用了两年来PE病毒常用的各种技术,成为一种继“求职信”后,典型的集传统感染型病毒,蠕虫,木马黑客程序为一体的混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。
