病毒名称:Wrom.Mapson
病毒类型:蠕虫
病毒长度:183,808
危害级别:2
传播速度:4
金山反病毒应急中于8月29日截获此病毒,并针对其进行紧急升级,金山毒霸最新病毒库已经完全查杀此病毒,请尽快更新您的金山毒霸。
技术特征:
该病毒采用DELPHI编写,UPX压缩。大量发送病毒邮件,利用常见点对点工具的文件共享功能进行传播。添加超级用户,在受感染系统上留下一个危险度高的后门。利用目前关注度较高的期骗名称来增强邮件的诱骗性,提高病毒的传播率。为保障自己的运行,追杀大量反病毒软件。
技术细节:
1、自我复制到系统目录(%system%)下,添加注册表启动项,完成感染过程
2、在硬盘上大量自我复制
3、使用病毒自带的发邮件引擎,自动发送病毒邮件
病毒使用的邮件主题几乎利用了所有目前关注度较高的欺骗名称,如:Blaster清除信息、微软windows更新程序、微软驱动更新程序、色情程序、屏保程序、加空格的文件名称、病毒信息列表、免费邮箱破解程序、甚至包括Matrix Reloaded等诱骗名称,以此来吸引公众的眼球,增强诱骗性,提高病毒的传播率。
4、添加名为“GEDZAC”的用户到超级用户群组,并打开telnet服务,导致系统留下危险度极高的后门
5、自动搜索点对点工具和ICQ的安装目录,并复制病毒复本到这些工具的文件共享目录中。
6、中止大量知名厂商的杀毒进程
_AVP32.exe'
'_AVPCC.exe '
'_AVPM.exe '
'ADVXDWIN.exe'
'AGENTW.EXE '
'ALERTSVC.exe '
'ALOGSERV.exe'
'AMON9X.exe'
'ANTI-TROJAN.exe'
'ANTS.exe'
'APVXDWIN.exe'
'ATCON.exe'
'ATUPDATER.exe'
'ATWATCH.exe'
'AUTODOWN.exe'
'AVCONSOL.exe'
'AVGCC32.exe'
'AVGCTRL.exe'
'AVGSERV.exe'
'AVGSERV9.exe'
'AVGW.exe'
'AVKPOP.exe'
'AVKSERV.exe '
'AVKSERVICE.exe'
'AVKWCTL9'
'AVP32.exe'
'AVPCC.exe'
'AVPM.exe'
'AVPM.EXE '
'AVSCHED32.exe' 'AVSYNMGR.exe'