关于login.scr:
Windows 有一个默认的屏幕保护程序名为login.scr,即使你没有选择屏幕保护程序,系统也会运行login.scr程序。当某个用户用一个恶性的程序代替了此程序,那么后果是不堪想像的,为了避勉这种情况发生的最好办法就是取消自动运行login.scr功能。
蠕虫W32.Funsoul@mm介绍
病毒名称:W32.Funsoul@mm
大小: 45,568字节
蠕虫W32.Funsoul@mm通过发送邮件进行传播,但如果打印机没有与主机连接,蠕虫将不会执行。
蠕虫W32.Funsoul@mm在运行后:
1》创建下列文件:
C:\Protect.sys
C:\Help.bat
C:\Hide.bat
C:\Login.scr
C:\Funny.scr
2》覆盖批处理文件 C:\Autoexec.bat,覆盖后,可以导致机器在启动后通过拨号程序拨叫911。
3》添加注册键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
值:help C:\help.bat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
值:HereAlso C:\Login.scr
4》将蠕虫发送给OUTLOOK地址簿中的所有人,邮件内容为:
主题: Though you might find this funny !
附件: Funny.scr
蠕虫也会修改IE的默认首页,指向Timothy McVeigh(人名),并显示一个消息和Timothy McVeigh本人的照片。
锁禁: http://steven.isunv.com/out_index.asp-id=1169.htm
关于explorer.pif:
病毒名称:汉城(Worm.Winevar)
病毒类型:蠕虫病毒
感染对象:网络/邮件
病毒介绍:
汉城(Worm.Winevar)是一种智能型病毒,具有智能反跟踪技术,并携带FUNLOVE病毒。此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。病毒除了会删除NT系统的服务(如:NTICE、tcpip)外,更是会删除一些反病毒软件!病毒将自己复制到system32目录下,并改名为前三字母为win,扩展名为.pif的随机文件名。由于病毒本身做了反跟踪设计,当发现自己被跟踪时会弹出对话框:"what a foolish thing you have done!",随即删除system32目录下的所有文件。病毒还会尝试从http://www.symantec.com/上下载文件,如果失败,病毒将放出funlove病毒并退出。病毒还利用邮件传播,并把自己复到到系统桌面上文件名为explorer.pif,同时删除各硬盘分区里的所有文件!
