Win32.Inzae.B是通过邮件传播的蠕虫病毒。病毒是大小为50,612的UPX Win32可执行文件或大小为50,734字节的压缩文件。一旦运行病毒文件会显示出来一个虚假的报错,如图所示:
并在%System%目录下提取并安装病毒的主要成分"Command.pif"。Win32.Inzae.B为了下次系统启动时可以执行病毒文件而创建下列注册键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\run\Messenger6= "%System%\command.pif"
一旦系统被感染,病毒会尝试从"home.pacifier.com"下载并安装 "msvbvm60.dll"。如果成功,病毒会在系统文件夹内运行它的主要成分"Paula.pif"。并且创建下列注册价值使下次系统运行时有病毒副本执行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Svchost = "%System%\svchosl.pif"
它通常在系统目录下创件下列病毒副本:
SW.EXE - 5,317-字节, FSG Win32可执行文件;
SX.EXE - 5,913-字节, FSG Win32可执行文件;
SZ.EXE - 4,141-字节, FSG Win32可执行文件;
SS.EXE - 4,988字节, UPX Win32可执行文件;
M.ZIP - ZIP 压缩文件中包含病毒。
病毒还会删除下列扩展名的文件:asm;asp;bdsproj等。(T101)
|
