|
 84980667 |
 等级:版主 |
积分:270 |
文章:0篇 |
| 注册:2004-5-15 |
 鲜花(14) 鸡蛋(10) |
|
|
|
|
|
 病毒名称:Coco.w
别名:Word97Macro.coco,w97m_coco
1。病毒特点:
病毒感染Win9x/Winnt/Win2000下的Word。病毒一旦执行,传染就发生,它将模板中的宏替换成病毒代码,并有可能删除This Document 文档下的正常宏。
2。病毒名称:W97M_ColdApe.B
别名:COLDAPE.B
病毒特征:
该宏病毒发作时,将自身插入模板文件和所有打开的文档。一旦被感染的文件打开,该病毒修改注册表,并在根目录下创建两个文件,分别是happy.vbs 和 a4.vbs。
3。病毒名称:W97M_JIM.C
别名:
病毒特点:
该病毒为Word 97宏病毒,它感染Word通用模板的ThisDocument和其他文档文件,病毒还通过Mirc复制,并窃取用户的密码。 在文档文件打开或关闭时,病毒对其进行感染,当访问菜单 “工具|宏”或查看VB代码时,病毒还会删除其代码。
病毒首先查看文件“C:\_vac.txt”是否存在,如果文件存在,病毒中断传染程序并显示一个对话框:“I guess you have what it takes.”,如文件不存在,感染发生,病毒首先使宏保护功能失效,接着感染未被感染的通用模板文件。如果通用模板文件已被感染,而活动的文档未被感染,病毒就感染活动的文档,并在模块ThisDocument的第55行插入另一个当前系统时间。
病毒查看C盘根目录下是否存在config.dll,如果不存在,病毒创建[用户名].dll和 msdos.dll,并在C盘根目录下创建config.dll。 病毒查看你的系统上是否装有mIRC。如果存在,病毒编辑MIRC.INI,做以下的改变:UserID = MrJim and fserve = Off,并删除SCRIPT.INI。接下来,病毒创建一个新的SCRIPT.INI,用以向你所在通道的用户发送被感染的当前系统文件。 如果以下任何应用正在运行:ADDRESS BOOK, ICQMSGAPI WINDOW, SOCKETS WINDOW, SECTION WINDOW和 INTERNET EXPLORER,病毒会上传文件[用户名].dll和你的密码文件到ftp.fortunecity.com。
这样,病毒的制造者就可以使用你的密码和系统说明来访问你的计算机。 如果当前系统日期为2号,病毒执行有效载荷,将在活动文档中插入以下内容: “Mr Jim/SeptiC/TI] - Do you have what it takes to become an international bussiness man!?” in the active document.”
|
 2004-6-12 17:50 |
|
|
|
 |
|
| |
 84980667 说: |
|
|
