病毒特性:
Win32/Dodaykil.G 是一种蠕虫病毒,通过将病毒复制到被感染机器上的所有驱动器上进行传播。病毒是大小为40,960字节的Win32可运行程序,病毒文件使用Visual Basic编写。
感染方式:
运行时,Dodaykil.G 复制到以下位置:
%Startup%\Adobe Online.com
%Startup%\Adobe update.com
注:%Startup%是一个可变的路径。病毒通过查询操作系统来决定Startup文件夹的位置。一般在以下路径C:\Documents and Settings\<username>\Start Menu\Programs\Startup。
病毒还会修改以下注册表键值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption = "<censored> - 24.01.2007 - Surabaya" 它会允许在每次系统启动的时候显示以下信息:
 另外,蠕虫生成并运行"Autoexec.bat"文件,它会显示以下信息:
 Win32/Dodaykil.G 使用一个文件夹的图标来掩饰病毒在被感染机器上的存在。如果用户打开这个文件夹图标,蠕虫就会启动资源管理器。病毒修改以下注册表来执行这个操作:
HKLM\SOFTWARE\Classes\scrfile\(Default) = "File Folder"
HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = "%1" 传播方式:
通过驱动器传播
Win32/Dodaykil.G 从C:\ 到 Z:\ 搜索所有可利用的驱动器进行传播,随后在每个找到的驱动上生成以下文件:
Autorun.inf
Thumbs.com
Thumbs.db
危害:
修改系统设置
Dodaykil.G 修改以下注册表键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL\CheckedValue = "0"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue = "1"
HKLM\SOFTWARE\Classes\scrfile\InfoTip
HKLM\SOFTWARE\Classes\scrfile\NeverShowExt
HKLM\SOFTWARE\Classes\scrfile\TileInfo
|
