恶性蠕虫“科多兽”(worm.kodo.aa),别名“Epower”,正在利用局域网和邮件进行疯狂传播,大量用户深受其害。据不完全统计,目前已有数百名用户遭遇该病毒袭击,造成不同程度的网络运行缓慢、系统崩溃等问题出现。
据反病毒专家介绍,“科多兽”为一感染型蠕虫病毒,可感染扩展名为.exe、.htm以及.html的文件,并通过修改注册表项实现随机自启动。作为一混合型病毒,科多兽可通过局域网和邮件等多种方式进行传播,传播能力极强,而且伴随着病毒的不断传播,可从互联网上任意下载可执行程序,能为其它病毒或流氓软件的安装提供了方便之门。
用户一旦感染了该病毒,就可能出现网络运行缓慢、死机、系统崩溃等现象。值得一提的是,由于“科多兽”病毒可从互联网上下载任意可执行程序,感染的用户非常容易遭遇流氓软件的攻击,所以受感染用户可能出现弹出广告窗口、蓝屏、个人信息丢失等问题。
伴随着网络安全形势的变化,混合型病毒对用户的危害越来越大。所谓混合型病毒是指那些具有病毒、蠕虫、木马等大量病毒行为混合在一起的病毒,具有传播速度快,破坏性大等特点。近年,由于流氓软件的泛滥以及病毒编写带来的经济利益,一些病毒开始“勾结” 流氓软件,利用流氓软件给用户带来更大的困扰,而流氓软件也可利用病毒进行大肆传播,严重影响用户的正常工作。
在通过INTERNET下载文件或查看一些陌生邮件之前,一定要开启杀毒软件的实时监控功能,以免遭遇病毒攻击。
“科多兽”病毒档案
病毒全名:worm.kodo.aa
中文名 :科多兽
病毒简介:
这是个感染型的蠕虫病毒,感染扩展名为.exe、.htm以及.html的文件,会通过局域网和邮件传播,并可从互联网上下载任意可执行程序,易于恶意软件的安装。
技术细节:
1.病毒运行后会从资源释放文件到到%tmp%目录,文件名为随即生成。该资源类型为EXEFILE,名称为EXE。
2.创建进程运行该释放的文件。
3.创建一个MUTEX监测自身是否为第一个运行实例,若不是,则进程终止。
4.复制自身到%system%\ePower.exe,并运行,退出自身进程。
5.从资源中释放驱动文件到%system%目录下,文件名随机(扩展名为sys)。之后会删除该文件。
6.修改注册表,创建名字为SysDrver的服务,实现开机自启。
7.创建线程,功能如下:
线程1:枚举网络可用资源,尝试通过IPC连接传播自身;发送邮件,通过email传播自身
线程2:连接网络下载病毒,网址如下:h**p://soft.ppandora.com/bear.exe,该链接已失效,但主页有病毒脚本,打开即中毒。
线程3:从Z盘到B盘,搜索所有exe、htm、html为扩展名的文件,并感染(系统盘除外)。
感染exe文件方式:病毒将自身复制到%tmp%目录下的随机文件名文件,读取欲感染的文件,并将其加入到病毒副本资源的EXEFILE类型的EXE。用该病毒副本覆盖于感染的文件完成感染,删除副本
