现在感染所有应用程序的病毒很多,这个小程序可根据用户输入的一个或多个盘符,备分里面所有的应用程序并压缩保存!当应用程序被感染时...可以还原回去...-now infected all application procedures lot of the virus, This small program based on the input of one or more drive. inside a breakdown of all applications and compression! When the application has been infected can be reduced ... back ... 下载
|
简 介: 1. 感染本地硬盘和网络上所有exe(GUI)文件 2. 搜索本地所有邮件地址,将病毒作为附件发送出去 3. 从网上下载木马程序并运行。 4. 利用QQ散播消息。 ************************************************* 工作流程: 1.首先得到重定位信息,保存在ebx中. 2.调用GetKBase ,得到Kernel32.dll的基地址。 3.调用GetAPIz,得到程序将使用的Kernel32中所有API. 4.判断是被感染文件还是自身.如是被感染文件则分配空间并动态产生解密模块,然后解密程序代码。 否则直接到5 5. 调用DownloadFile下载木马程序 6. 调用RunExe执行木马程序 7.调用DownloadFile下载邮件体hello.eml文件 8. 启动发送QQ消息线程 9. 感染本地Exe文件-description : 1. infection local and network drives all exe (GUI) document 2. Search all local mail addresses, the virus sent as Annex 3. Trojan downloaded from the Internet and run procedures. 4. Use QQ spread the message. **************************************** ********* workflow : 1. First to be re-positioning, which kept in the EBX. 2. Call GetKBase been Kernel32.dll the base address. 3. Call GetAPIz, procedures will be used in all Kernel32 API. 4. Judgment is infected or document itself. If the infected file is the allocation of space and dynamics decryption modules, then decryption code. Otherwise directly to the 5. Call DownloadFile download Trojans 6. They call RunExe OK Trojan 7. Call DownloadFile download mail-hello.eml 8. QQ started sending news Thread 9. infection local Exe do 下载
|
因为该变种病毒不但要攻击RPC漏洞,还会将自身复制到%system%\Wins文件夹下,创建FTP服务和Wins Client服务。其中FTP服务开启系统的FTP功能用于传播病毒。“冲击波杀手”感染一台机器后就会使用Ping命令或ICMP echo方式探测随机产生的IP地址是否有效,如果有效便开始进行攻击。该病毒会在受感染的系统中随机使用666-765端口与攻击系统进行连接。该病毒还会检查系统版本和微软补丁包的版本号,然后根据不同的操作系统尝试从微软下载有关RPC漏洞的补丁程序,并自动运行补丁程序,给系统打上RPC漏洞的补丁。 该病毒发作后会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播,所以该病毒传播更有效,速度更快,而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波杀手”给用户造成的危害将是“冲击波”的几倍。不过升级了系统以及修补了RPC漏洞的用户不会再被该病毒感染。 -because the variant virus not only to attack RPC vulnerability, but also copies itself into% system% \ Wins folder, FTP services and the creation Wins Client services. FTP services which opened the FTP function for the transmission of the virus. "Shock killer" an infected machine will be used after the Ping orders or ICMP echo mode detection randomly generated IP address whether and, if they start to attack. The virus in infected systems use random ports 666-765 and attack systems for the connection. The virus will also inspect system version and Microsoft patch version, then under different operating systems to try to download the Microsoft RPC vulnerability patches, and automatically patch to the RPC loopholes permitting system patches. The virus attacks will be opened after hu 下载
|
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。 2004年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户网络账户的共享文件夹来进行传播。 这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播- 下载
|
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。 2004年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户网络账户的共享文件夹来进行传播。 这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播- 下载
|