时间:2017-04-17 作者:ghostxp系统 来源:www.ghostxpsp3.com 访问: 次
分析原因:
病毒名称:蠕虫病毒Win32.Luder.I
其它名称:W32Dref-U (Sophos), Win32Luder.I!Worm, W32.Mixor.Q@mm (Symantec), W32Nuwar@MM (McAfee), W32Tibs.RA (F-Secure), Trojan-Downloader.Win32.Tibs.jy (Kaspersky)
病毒属性:蠕虫病毒
危害性:中等危害
流行程度:高
具体介绍:
病毒特性:
Win32Luder.I是一种通过邮件传播的蠕虫,并寄存在PE 文件和RAR 文件中进行传播。另外,它还会生成一个特洛伊,用来下载并运行其它的恶意程序。它是大小为17,559字节的Win32可运行程序。
感染方式:
运行时,Win32Luder.I复制到%System%\ppl.exe ,并设置文件属性为隐藏。随后,修改以下注册表键值,以确保在每次系统启动时运行这个副本:HKLM\Software\Microsoft \Windows\CurrentVersion\Run\agent = “%System%\ppl.exe.。。”HKCU\Software\Microsoft\Windows\CurrentVersion\Run \agent = “%System%\ppl.exe.。。”
注:‘%System%’是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
Luder还生成并运行一个任意名称的文件,检测出是Win32Sinteri!downloader特洛伊病毒。蠕虫还生成“kkk33ewrrt”互斥体,以确保每次只有一个副本运行。
传播方式:
通过邮件传播蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址:HKCU\Software\Microsoft\WAB\WAB4\Wab File Name接着,搜索从 ‘Z:\’ 到 ‘C:\’ 驱动器上带有以下扩展名的文件:
rar
scr
exe
htm
txt
ht
a 蠕虫执行DNS MX (mail exchanger)查询,为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。
Luder.I尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点:
雨林木风GHOST XP SP3系统2017年04月版本精心制作而成,采用微软内部封装技术。 雨林木风GHOST XP系统安装.....
2017-04-15
系统之家GHOST XP装机版V2018.09版本通过正版验证,经过作者精心测试,几乎所有驱动能自动识别并安装好。系.....
2018-08-27
系统之家GHOST XP SP3装机版v2020.05版本使用稳定可靠的优化方案,涉及服务、注册表、启动项等方面,确保系.....
2020-11-16
友情连接: win7系统下载