“莫国防(Win32.Mgf)”病毒专杀工具

疾隼

病毒介绍 感染PE文件的病毒。 传播途径：文件、网络。 发作症状： 运行桌面上的程序，首先弹出对话框，显示“本使者为传播技术而来，已在这里安营扎寨。我无破坏力，你不必担心！” “致我的偶像比尔.盖茨：你的几个傻瓜手下，轻视我的漏洞报告，你该打他们的PP！ 病毒代码长度：18280字节。 感染操作系统：Windows9X、Windows2000、WindowsXP和Windows Server2003。 一、病毒搜索Kernel32.dll的导出节，初始化需要的API函数。 二、打开注册表下列键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 查询“Desktop”的数据，取得当前用户桌面所对应的路径。病毒枚举该路径下的所有“lnk”文件，即快捷方式文件。从中取出相应程序的完整路径，进行感染。 三、病毒修改PE文件最后一个节，追加0x4768病毒代码。同时修改入口地址，指向病毒。当用户双击桌面上的快捷方式图标，病毒被激活，继续上述感染行为，同时显示对话框标题为“莫国防的技术使者之宣言” 正文信息为:“本使者为传播技术而来，已在这里安营扎寨。我无破坏力，你不必担心！” “致我的偶像比尔.盖茨：你的几个傻瓜手下，轻视我的漏洞报告，你该打他们的PP！ 四、在病毒代码中包含病毒及其作者信息 Name: MGF v1.1 (C) NN.CN (P) 2003-10-08 wohoo2002@hotmail.com 五、病毒枚举局域网所有可写目录，感染局域网内其他用户机器上的文件。 六、如果系统是Windows NT、2000、XP，将试图修改Windows所在磁盘的根目录中引导文件NTLDR。

疾隼

软件说明 注意事项： 1.如果用该专杀工具杀毒过程中发现病毒，并且报告RavMGF.exe(该专杀工具)杀毒失败，这是由于RavMGF.exe运行前会被Win32.MGF感染。请在杀毒完成后，手动将RavMGF.exe专杀工具删除。 2.Win98系统下，由于病毒Win32.MGF导致系统无法正常运行，因此请在杀毒之后，务必重启机器。 工具下载http://download.rising.com.cn/zsgj/RavMGF.exe

mj

支持！！！