|
1 、病毒运行后衍生病毒文件到系统目录下:
病毒路径名 病毒名
%system32%\57F94C04.DLL Worm.Win32.Agent.az
%system32%\57F94C04.EXE Worm.Win32.Agent.az
根目录 \autorun.inf
根目录 \rising.exe Worm.Win32.Agent.az
2 、修改注册表,新建服务,并以服务的方式达到随机启动的目的:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\57F94C04
键值 : 字串 : "ImagePath"="C:\WINDOWS\system32\57F94C04.EXE -k"
服务名称: 57F94C04
显示名称: 57F94C04
描述: 57F94C04
可执行文件的路径: C:\WINDOWS\system32\57F94C04.EXE
启动方式:自动
3 、关闭系统错误报告服务( ERSvc ):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
键值 : 字串 : "ImagePath"=" %SystemRoot%\System32\svchost.exe -k netsvcs. "
ERSvc 服务:服务和应用程序在非标准环境下运行时允许错误报告。 "
4 、在系统根目录下创建 autorun.inf 文件,当用户双击磁盘时自动运行病毒。
[AutoRun]
open=rising.exe
shellexecute=rising.exe
shell\Auto\command=rising.exe
5 、病毒衍生文件 57F94C04.DLL 插入到系统进程 explorer.exe 和 winlogon.exe 中。
6 、隐藏文件,无法在文件夹选项中通过显示所有文件和文件夹看到隐藏的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
键值:字串: "CheckedValue"=dword:00000000
57F94C04.DLL 监控注册表,每间隔为三秒检查该键值是否为 0 ,
否则改为 0 ,以使系统无法显示所有文件和文件夹。
7 、修改日期:
修改系统日期为 2005 年。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
|
病毒标签:
病毒上报信箱: