蠕虫病毒Worm_Funny.A分析报告（5）

蠕虫病毒Worm_Funny.A分析报告（5）

　　技术特点：

　　 1、将自身复制到：
%SystemRoot%\rundll32.exe（98下会替换系统文件，导致系统不能正常关机）
%System%\explorer.exe
%System%\IEXPLORE.EXE
%System%\userinit32.exe
C:\funny.exe

　　2、生成 %System%\BSFIRST2.LOG 日志文件

　　3、Win9x/ME下 病毒会修改system.ini文件
[boot]
Shell=explorer.exe
为以下内容
[boot]
Shell=%System%\explorer.exe

　　4、病毒每隔60秒，就会注册表主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值：
"MMSystem"="%SystemRoot%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"防止用户更改该键。

　　5、WinNT/Win2000/WinXP/Win2003系统下，会将注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
的键值
"Userinit"="%System%\userinit.exe,"
修改为：
"%System%\userinit32.exe,"

　　使得系统加载的不是正常的userinit.exe，而是病毒文件。

　　6、病毒会运行多个进程，并监视自身进程是否被关闭，如果关闭，则再启动自身。

　　7、病毒会利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍ww

[1] [2] 下一页