当W32.Funner(这是人家诺顿老大的命名)病毒执行的时候,它会这样做~:
1,拷贝自身为如下文件:
%System%\IEXPLORE.EXE
%System%\EXPLORE.EXE
%Windir%\rundll32.exe
%System%\userinit32.exe
c:\funny.exe
并且执行列表里的前三个文件
注意:
?这三个文件会确保另外它们始终运行,换句话说,当其中两个被终止的时候,另外一个会将它们重新启动,
让我们看看
。?这些文件需要MSVBVM60.DLL文件,它是MicrosoftVisualBasic运行时环境组件。
?%System%是系统文件夹的变量参数,默认情况下,它是:
C:\Windows\System(Windows95/98/Me)
C:\Windows\System32(WindowsNT/2000/XP)
?%Windir%是Windows安装文件夹变量参数,默认情况下,它是:
C:\Windows或C:\Winnt
2,创建日志文件,命名为%System%bsfirst2.log(病毒也做日志?寒……)
3,在下列注册表分支中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
加入键值
“Userinit”=“userinit32.exe,”
当启动Windows的时候,将自动运行userinit32.exe(够贼的……NT系统的注册表同样分支里有这样的一个键值,只是名字是userinit32.exe)
4,在下列注册表分支中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
加入键值
“MMSystem”=“%Windir%\rundll32.exe”%System%\mmsystem.dll“”,RunDll32“
当启动Windows时,自动运行rundll32.exe
5,会在SYSTEM.ini文件的[boot]部分添加如下行:
Shell=%system%\explorer.exe
6,在WindowsMessenger即时通信程序中发送c:\funny.exe文件给联系人
7,会连接到http://www.78p.com
8,将如下列表中的条目添加到Hosts文件并指向一个外部IP地址(来,大家跟我一起数……):
222.89.98.219http://www.wo365.com
222.89.98.219cmfu.com
222.89.98.219http://www.cmfu.com
222.89.98.2199i0.com
222.89.98.219http://www.9flash.com
222.89.98.2199flash.com
222.89.98.219http://www.nowok.net
222.89.98.219nowok.net
222.89.98.219wisa.com.cn
222.89.98.219http://www.sia.com.cn
222.89.98.219http://www.wisa.cn
222.89.98.219wisa.cn
222.89.98.219http://www.zhao99.com
222.89.98.219zhao99.com
222.89.98.219http://www.wo123.com
222.89.98.219wo123.com
222.89.98.219wo99.com
222.89.98.219http://www.wo99.com
222.89.98.219http://www.page.com.cn
222.89.98.219page.com.cn
222.89.98.219http://www.432.cn
222.89.98.219432.cn
222.89.98.219wysw.com
222.89.98.21914.com.cn
222.89.98.219http://www.14.com.cn
222.89.98.219cnww.net