-
愛情森林病毒
鎖定
- 中文名
- 愛情森林病毒
- 外文名
- Trojan.ScKiss
- 病毒類型
- 木馬病毒
- 感染對象
- 網絡
- 編寫語言
- Delphi
- 傳播方式
- 郵件/網絡/QQ誘騙
- 字 長
- 176,643字節
- 病毒郵件
- s.eml
愛情森林病毒病毒機理
愛情森林病毒攻擊原理
病毒修改註冊表(HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun)添加鍵值(Explorer="%windowssystem%Explorer.exe")開機自動運行。惡意網頁利用JAVAEXPLOIT漏洞,不經用户允許即可以自動下載病毒並執行,修改用户的註冊表及IE配置。利用了著名的Iframe漏洞自動運行。
[3]
愛情森林病毒運行過程
病毒自身複製後拷貝到Windows目錄下,並分別命名為(winupdate.exe、winver.exe)。 生成一個名為hosts的文件,用户系統為Win9x,該文件會複製到windows目錄下,若用户的系統為WinNt,則會複製到 (WinNt/system32/driversetchosts下),代替IE的部分域名解析。當用户在IE瀏覽器中輸入網址時,就會進入所指定的網頁。
修改註冊表,使HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為"%windows%winver.exe %windows%NOTEPAD.EXE %1",關聯記事本,當用户打開(txt)文件病毒自動運行,使 HKEY_CLASSES_ROOTexefileshellopencommand的默認鍵值為(%windows%winupdate.exe %1 %*),執行(exe)文件自動運行。
愛情森林病毒中毒症狀
“愛情森林”病毒通過QQ發送信息之後,便開始進行本機的感染。病毒首先改名為:(EXPLORER.EXE),然後將之拷貝到WINDOWS的系統目錄 (SYSTEM或SYSTEM32)下,修改註冊表,在RUN的自啓動項中建立一個EXPLORER的鍵值,將病毒路徑加入其中,計算機重啓,病毒便可自動運行。
[5]
愛情森林病毒病毒清除
註冊表編輯器刪除(HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run)下名為Explorer的鍵值。
刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
[3]
[6]
- 參考資料
-
- 1. 五、“愛情森林”病毒 .人民網[引用日期2014-09-20]
- 2. 愛情森林病毒變種五特徵及查殺方法 .南方網[引用日期2014-09-20]
- 3. 愛情森林病毒變種二特徵 .太平洋網[引用日期2014-09-20]
- 4. 當心這個木馬病毒-愛情森林 .太平洋網[引用日期2014-09-20]
- 5. 2002年十大病毒排行榜 .人民網[引用日期2014-09-20]
- 6. 愛情森林病毒的解決方法 .瑞星網[引用日期2014-09-20]