病毒特征: $`J���3b�
bqYDXh~Q��
A.该病毒通过移动硬盘传播,比如U盘。 [!:�wt�w�w
B.该病毒开放一个特定的网络端口应用于远程网络攻击。 N9z�<{`�9x
C.该病毒在受感染的电脑中向外发送病毒信息。 �#]@?]G�rW
D.该病毒通过Python脚本编写,并且该病毒的源文件里面包含Python的配置文件。 a1d4�bA0ti
�~=��H�CRj
发作症状: ~�Z1�o/*y:
���C:\$�=;
1.该报告是根据在2007年1月19日被发现的病毒样本来分析的。 �N�4|( tD-
l,1�5#p��J
2.该病毒通过Python脚本编写,并且该病毒的源文件里面包含Python的配置文件。首次发现在2007年1月19日,文件大小为3,514,318字节在,文件名字是AdobeR.exe。 l��_�o6h�G
V�XK<�OPox
3.当该病毒被执行时,它会复制自己到以下路径: �j#d�A9{p
- %SystemRoot%\AdobeR.exe 2Mkm5IuX�(
* Windows folder (%SystemRoot%) L8To���'?O
-Windows 9X/ME: C:\Windows 9SLB�Hog�
-Windows NT/2000 : C:\Winnt P�`z)�XJR�
-Windows XP : C:\Windows �L:ll`L%�l
pn��ckU�5L
4.当该病毒被执行后,它开放特定的端口,并通过该端口监听远程指令。 7I�`�n�PJl
N4�_&HG]>_
5.当该病毒被执行后,它会尝试连接以下网络服务器。 ���O"CNs7M
- Address: natrocket.km<….>.net |jY��^�`$z
- Port: TCP 5288 4;]]sL�d(H
AA�A�Vqu){
- Address: natrocket.99<….>.org e a8aA8j}X
- Port: TCP 5288 W"��o�0�q�
a+LGUG]'�Y
- Address: scipaper.km<….>.net ��9Y�&�fQ3
- Port: TCP 80 oO)G&H~ita
NJ:|VyJ�3l
6.该病毒会将受感染系统的以下信息发送到以下网络服务器中: oX�\SP��Kg
- IP address of the infected system 1�D�dO|um�
- Port number opened by Win32.HLLW.NetRock mjcc1;Dsg�
- Virus Version 4ET0s�Nxky
bh�'�N$�p1
7.该病毒会连接以下网络地址: �H4A�hU ��
- Address: 58.63.<….>.91 N<=)%xd�F�
- Port: 5288 BS5Y� <,7^
@FpGL�8�Xq
8.该病毒会下载其他的病毒或脚本配置文件。 z�L@Y��l8�
~.\W���w,m
9.该病毒会在移动设备里创建以下文件,比如U盘: }y��Z{�Ah+
- AdobeR.exe: execution file of Win32.HLLW.NetRock �@&�au|=(
- Autorun.inf: file for auto-execution of Win32.HLLW.NetRock C^O_P)�8ba
- msvcr71.dll: a normal file created by Microsoft. ;1a) s�=ed
It is for running Win32.HLLW.NetRock. (2smu�Hm)?
[/_._HP2)'
10.如果用户访问移动设备,该病毒源文件AdobeR.exe就会受Autorun.inf配置文件的指示而执行。 \!��j-8/vO
_)&FuT�Qdc
11.Autorun.inf是驱动程序包含的程序,当驱动被装入系统时就会自动运行该文件。 ~Vi_QB�z[n
*'{KG
&v�)
12.该病毒会写入注册表值到系统启动项里。 ���x{DlAN
Wd7}O6�9>t
[HKLM\SOFTWARE\Microsoft\Windows\CurruntVersion\Run] �u7_y�z2:x
'RavAV' = '%systemRoot%\AdobeR.exe' j$k���,eRr
B_$h�/6�,Y
受感染的系统包括: [
�{c,�a=&
-Windows 9X/ME: C:\Windows\SYSTEM �JHd_23���
-Windows NT/2000 : C:\Winnt\System32 7��}�inW��
-Windows XP : C:\Windows\System32 `"p=�MI���
�GN7X6c��g
s@=(RJWvUL
:2�'zX��n7
