在今天的病毒中I-Worm/P2P.Scranor“斯兰诺”和I-Worm/P2P.SpyBot“窃密虫”值得关注。 ================== 病毒名称:I-Worm/P2P.Scranor 中 文 名:“斯兰诺” 病毒长度:12800字节 病毒类型:蠕虫 危害等级:★ 影响平台:Win 9x/2000/XP/NT/Me/2003 ------------------- I-Worm/P2P.Scranor“斯兰诺”是一个通过特定的IRC通道利用IMesh(文件共享网络)和Kazaa共享进行传播的蠕虫。“斯兰诺”运行后,修改注册表,实现开机自启。连接指定站点,下载病毒文件,保存在C盘根目录下,文件名是botnet.exe。在C盘的Program Files目录下创建大量病毒副本,利用IMesh和Kazaa共享将病毒副本作为默认文件传送到其它计算机上,实现网络共享传播。若系统当前日期是指定日期,屏幕显示虚假消息框。 ===================== 病毒名称:I-Worm/P2P.SpyBot 中 文 名:“窃密虫” 病毒长度:可变 病毒类型:蠕虫 危害等级:★★ 影响平台:Win 9x/2000/XP/NT/Me/2003 --------------------- I-Worm/P2P.SpyBot“窃密虫”是一个利用Kazaa共享及mIRC传播的蠕虫。该蠕虫不仅传播给已经感染后门的用户计算机,而且利用密码字典破解弱密码进行网络共享传播。“窃密虫”运行后,自我复制到系统目录下。修改注册表,实现开机自启。在Kazaa上创建共享目录,利用某些常用软件的名称自我复制到Kazaa共享目录下欺骗他人下载。连接指定的IRC服务器,侦听黑客指令,上传或下载升级文件,终止某些杀毒软件的进程,并可对指定目标执行DoS攻击。在已开启的窗口中搜索与网上银行、在线支付相关的字符串,一经发现便开始记录键击,盗取用户帐户密码,并禁止用户通过合法帐号进行在线交易。利用密码字典破解弱密码共享,自我复制到共享目录下,进行网络共享传播。该蠕虫还利用微软DCOM RPC等漏洞进行传播。另外,“窃密虫”释放另一病毒以隐藏该蠕虫在任务管理器中的进程。
