该蠕虫程序激活后,在%systemroot%/system32下随机生成一个文件名类似系统程序或常用软件的文件(如:Isass.exe,winamp.exe,csrs.exe等),其文件类型为隐藏的系统文件;用命令行启动winamp.exe程序;修改注册表,在HKLM下的RUN中新建名为Client Server Runtime Process的项使病毒能随系统的启动而运行;添加Windows防火墙规则,使winamp.exe与外部通信不被拦截;枚举局域网地址,试图通过弱口令在局域网中传播感染其它主机;通过注册表查找用户计算机上的FlashFXP的文件路径,从size.dat文件中获取用户使用的ftp及tftp地址,通过弱口令进入FTP并传播病毒;在后台开启一个CMD进程,并与黑客进行连接,接受黑客指令,当满足一定的的条件时便向指定的服务器发起攻击。
病毒添加的注册表项:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:Client Server Runtime Process
指向文件:C:\WINDOWS\system32\winamp.exe
病毒修改的注册表项:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
键值:C:\WINDOWS\system32\ winamp.exe
指向文件:C:\WINDOWS\system32\ winamp.exe:*:Enabled:Client Server Runtime Process
感染对象
Windows 98\ Windows ME\Windows 2000/Windows XP/Windows 2003
