病毒名称:Win32.Floodnet
别名:Win32/Cute.Worm, W32.Tendoolf, WORM_TENDOOLF.A
病毒种类:Win32
病毒类型:蠕虫
危害级别:中
传播速度:快
病毒特征:
该病毒是利用MAPI协议向外传播的邮件蠕虫。其病毒邮件格式为:
主题:Thoughts...
正文:I just found this program, and, i dont know why... but it reminded me of you. check it out.
附件:Cute.exe
附件运行后:
1.病毒会在被感染机器上生成%Windows%\Kernel32.exe病毒副本,并从硬盘上删除此已执行过的附件。
2.会创建如下注册表键:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows="%Windows%\kernel32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices="%Windows%\kernel32.exe"
HKCR\.vx\exefile
HKCR\.vx\Content Type="application/x-msdownload"
HKCR\.vx\NeverShowExt
3.会修改system.ini及win.ini文件,被修改的命令行如下:
system.ini :
[boot]
shell=explorer.exe %Windows%\kernel32.exe
win.ini :
[windows]
load=%Windows%\kernel32.exe
4.能充当一个后门程序用来连接IRC服务器,并登入到某个特殊通道。用户在该通道内可能会进一步向外发送邮件,MSN Messenger及AOL Instante Messenger信息,这样就可能会产生分布式拒绝服务功击。
携带该蠕虫的ftp及Http服务器也能够感染用户的机器。
5.会试图删除内存中的如下进程:
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
minilog.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
WrCtrl.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PCFWallIcon.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
IFACE.EXE
TEMP.EXE
MPGSRV32.EXE
LIBUPDATE.EXE
RunDIl.exe
WinDll.exe
expl32.exe
RunDii.exe
rundli.exe
nvarch16.exe
Mssmmc32.exe
