中华网络安全联盟    作者：金山    来源：金山毒霸信息安全网    时间：2006-12-2 22:47:48

　　病毒全名：worm.kodo.aa

　　中文名 ：科多兽

　　病毒简介：

　　这是个感染型的蠕虫病毒，感染扩展名为.exe、.htm以及.html的文件，会通过局域网和邮件传播，并可从互联网上下载任意可执行程序，易于恶意软件的安装。

　　技术细节：

　　1．病毒运行后会从资源释放文件到到%tmp%目录，文件名为随即生成。该资源类型为EXEFILE，名称为EXE。

　　2．创建进程运行该释放的文件。

　　3．创建一个MUTEX监测自身是否为第一个运行实例，若不是，则进程终止。

　　4．复制自身到%system%\ePower.exe，并运行，退出自身进程。

　　5．从资源中释放驱动文件到%system%目录下，文件名随机（扩展名为sys）。之后会删除该文件。

　　6．修改注册表，创建名字为SysDrver的服务，实现开机自启。

　　7．创建线程，功能如下：

　　 线程1：枚举网络可用资源，尝试通过IPC连接传播自身；发送邮件，通过email传播自身

　　 线程2：连接网络下载病毒，网址如下：h**p：//soft.ppandora.com/bear.exe，该链接已失效，但主页有病毒脚本，打开即中毒。

　　 线程3：从Z盘到B盘，搜索所有exe、htm、html为扩展名的文件，并感染(系统盘除外)。

　　 感染exe文件方式：病毒将自身复制到%tmp%目录下的随机文件名文件，读取欲感染的文件，并将其加入到病毒副本资源的EXEFILE类型的EXE。用该病毒副本覆盖于感染的文件完成感染，删除副本。

　　 感染htm文件方式：将如下字符串写入文件尾。