目前这个病毒会影响到除Windows Vista外所有的Windows版本。病毒程序运行后会破坏正常文件,感染网页文件,通过MS06-014和MS07-017漏洞传播, 且被病毒破坏的文件无法修复,这点比较危险。
1、当系统中毒后,所有可执行文件图标都变成了一个黑色炸弹的图标,如下图:
用户一旦感染该病毒,电脑会自动弹出一个病毒作者的留言框:
2、病毒体内有如下字样:
(但此段文字在不同的版本里会有些许不同。)
3、该病毒会遍历本地磁盘、可移动磁盘等存贮介质,发现有*.asp *.aspx *.php *.jsp *.htm *.html扩展名的脚本文件时进行感染:
在这些网页脚本文件中插入一个Iframe标签,添加恶意网址引用:
当用户打开这些网页文件时,IE就会自动下载蠕虫病毒。
(既然病毒目标是所有本地磁盘,查杀时就要注意全盘扫描。)
4、发现如下扩展名的文件时,将病毒体内容覆盖到文件首部,使文件被破坏,无法恢复:
发现如下扩展名的文件时跳过:
对于其他文件,当文件大小小于258048(病毒体大小)时,覆盖文件,否则跳过。感染后的文件末尾加如下感染标志:wswhacker。
5、在每个磁盘根目录下创建如下病毒文件,双击盘符时激活病毒:
这样就可以借助U盘,MP3,移动硬盘等移动存储介质传播。
此病毒虽然对文件的破坏力比较强,好在传染性一般。目前还没有大规模的中毒报告。
建议开启文件、网页等监控,可以随时监控病毒对上述文件实施的更改操作。插入移动存储后,扫描移动磁盘后再运行文件。
【提示:为安全起见,文中用“*”代替了部分网址,并更改了Iframe标签格式。】
