|
1、释放病毒文件:
%System%\<random folder>\csrss.exe
%System%\<random folder>\csrss.ini
%System%\<randomfolder>\smss.exe
%System%\netstat.com
%System%\taskkill.com |
病毒副本
病毒的配置数据
利用MSN传播的病毒副本
文件属性:隐藏、系统
文件属性:隐藏、系统
|
2、判断当前所感染的系统版本,若系统为Window me/98,则修改"win.ini"文件,添加内容:
[windows]
load = %System%\\csrss.exe
run = %System%\\csrss.exe
若系统为:Windows NT/2000/XP/2003,则修改注册表:
HKEY_USERS\Software\Microsoft\Windows NT
\CurrentVersion\Windows\run
旧值: 字串: ""
新值: 字串: "%System32%\<random folder>\csrss.exe"
HKEY_USERS\Software\Microsoft\Windows NT
\CurrentVersion\Windows\load
旧值: 字串: ""
新值: 字串: "%System32%\<random folder>\csrss.exe"
修改regfile项,使得用户无法打开注册表编辑器:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile
\shell\open\command\@
Old value: 字串: "regedit.exe "%1""
New value: 字串: ""%1""
新建以下为空的键,用来迷惑用户:
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run\csrss
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\csrss
隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Hidden = 2
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\SuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0
使用户无法看到远程管理员设置:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System\NoAdminPage = 1
3、修改%System%\drivers\etc\hosts文件,阻止用户访问以下网络:
avp.com
www.avp.com
ca.com
www.ca.com
www3.ca.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
www.f-secure.com
ftp.f-secure.com
ftp.sophos.com
liveupdate.symantec.com
customer.symantec.com
mcafee.com
www.mcafee.com
rads.mcafee.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
nai.com
www.nai.com
networkassociates.com
secure.nai.com
securityresponse.symantec.
service1.symantec.com
spywareinfo.com
www.spywareinfo.com
merijn.org
www.merijn.org
sysinternals.com
www.sysinternals.com
|
sophos.com
www.sophos.com
support.microsoft.com
symantec.com
www.symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.viruslist.com
grisoft.com
www.grisoft.com
free.grisoft.com
trendmicro.com
housecall.trendmicro.com
www.trendmicro.com
pandasoftware.com
www.pandasoftware.com
kaspersky.com
www.kaspersky.com
ewido.net
www.ewido.net
zonelabs.com
www.zonelabs.com
onguardonline.gov
www.onguardonline.gov
avast.com
www.avast.com
safety.live.com |
4、遍历系统当前进程,若包含以下进程,病毒便会尝试终止:
vsmon.exe
outpost.exe
kav.exe
kavsvc.exe
mcvsshld.exe
mcagent.exe
mcvsftsn.exe
mcdash.exe
mcvsessn.exe
mcinfo.exe
mcfagent.exe
mpfservice.exe
mskagent.exe
mcmhdlr.exe |
tmpfw.exe
smc.exe
zlclient.exe
isafe.exe
pandaavengine.exe
regedit.exe
hijackthis.exe
gcasdtserv.exe
gcasserv.exe
pcctlcom.exe
tmntsrv.exe
tmproxy.exe
pcclient.exe
ethereal.exe |
5、病毒还具有后门功能,病毒运行后会自动连接到一个IRC服务器,等待并执行恶意用户的操作,如:
Flood 目标主机
获取系统信息,如:CPU, 内存, 操作系统
获取蠕虫的版本
开始/停止SOCKS proxy server
更新蠕虫
下载并运行任意文件
删除文件和目录
获取系统运行时间
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
|
病毒标签:
病毒上报信箱: