危险等级:★★★病毒名称:Worm.Win32.VB.ao截获时间:2007-9-04入库版本:19.39.30类型:蠕虫
感染的操作系统:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:中
清除难度:轻易
破坏力:高
破坏手段:下载病毒执行
这是一个Visual Basic编写的病毒程序
病毒一开始会遍历进程,查找如下进程runiep.exe,ras.exe,MPG4C32.exe,imsins.exe,Iparmor.exe,360safe.exe,360tray.exe,kmailmon.exe,kavstart.exe,clsmn.exe,client.exe,pubwin.exe.。找到后,就直接用TerminateProcess关闭这些安全软件的进程。
病毒会在%SYSTEM%目录中释放alcwzrd.exe,inetres.exe,notep.exe,SoundMan.exe
病毒会执行如下的命令,关闭一些安全软件的服务,使这些安全软件失效。 cmd.exe /c net stop shaRedaccess cmd.exe /c net stop KPfwSvc cmd.exe /c net stop KWatchsvc […]
“VB蠕虫变种AO”病毒
2007年11月20日
Tags: 电脑相关
“Skype蠕虫”病毒
2007年11月20日
危险等级:★★★病毒名称:Worm.IM.Win32.Skype.a截获时间:2007-9-11入库版本:19.40.12类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
清除难度:困难
破坏力:低
此程序为worm类型程序
1.创建名为syksp2.0.0.4gM-2oo8&-825190的互斥体,防止进程中有多个病毒进程运行。
2.修改用户hosts文件,把以下网址重定位。89.72.142.99 symantec.comsecurityresponse.symantec.com168.226.208.159 www.symantec.comsecurityresponse.symantec.com116.249.149.146 pandasoftware.com201.163.176.59 www.pandasoftware.com201.68.47.134 sophos.com78.3.225.30 www.sophos.com209.127.21.131 mcafee.com139.189.165.92 www.mcafee.com217.102.51.14 downloads-us1.kaspersky-labs.com229.47.179.141 www.downloads-us1.kaspersky-labs.com131.152.41.115 updates1.kaspersky-labs.com…3.在system32文件夹下释放wndrivsd32.exe、winlgcverx.exe、sdrivec32.exe、mshtmlsh32.exe 文件,并添加注册表自启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Currentversion\RunOnce “Service Start2” = mshtmlsh32.exe、HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\Currentversion\Winlogon “Windows Sysdat” = explorer.exe mshtmlsh32.exe。4.在explorer.exe中创建远程线程,每隔6秒查找进程中是否存在病毒进程,假如没有则运行病毒程序,实现进程保护。5.病毒会将生成的dsc027.scr通过skype模拟键盘和鼠标操作发送给其他联系人,发送消息如下: your photos looks realy nice where I put ur photo […]
Tags: 电脑相关
“VB蠕虫变种MQ”病毒
2007年11月20日
危险等级:★★★病毒名称:Worm.Win32.VB.mq截获时间:2007-9-13入库版本:19.19.42类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:隐藏其他恶意程序
这是一个Virutal Basic编写的蠕虫病毒,用UPX加壳程序进程保护。
该病毒运行后,首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\Documents and Settings\All Users\「开始」菜单\程序\启动).
接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\system,\web,\fonts,\temp,\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.
病毒会修改注册表项,达到隐藏文件的目的. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”HideFileExt” = 0X00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”Hidden” = 0X00000000
病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作. 如: cmd /c net share C$=c:\ cmd /c net share […]
Tags: 电脑相关
“反病毒杀手变种BE”病毒
2007年11月20日
危险等级:★★★病毒名称:Worm.Win32.AvKiller.be截获时间:2007-9-26入库版本:19.42.22类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:通过IM程序传播,从列表中下载病毒,偷盗用户敏感信息
这是一个蠕虫病毒,利用Upack程序进行保护 病毒会利用CreateMutex创建一个”system”的互斥,保证系统中只有一个实例在运行,如这个互斥已经存在,则病毒直接退出.
病毒运行后,先利用”LookupPrivilegeValueA”,”AdjustTokenPrivileges”提升自己的运行权限,然后遍历系统所有进程,查找下列进程: “360Safe.exe”, “360tray.exe” ,”VsTskMgr.exe”,”UpdaterUI.exe”,”TBMon.exe”, “scan32.exe”, “VPC32.exe”,”VPTRAY.exe”, “KRegEx.exe”, “KRegEx.exe”,”kvsrvxp.kxp”,”kvsrvxp.exe”,”KVWSC.EXE”, “Iparmor.exe”, “AST.EXE”,如发现上述中的进程,则利用”TerminateProcess”关掉进程,使当前系统失去保护. 病毒将自身复制到%SYSTEM32%目录,并将自已重命名为iexplrer.exe和explorer.exe,并利用GetDriveType判定,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(explorer.exe),其实autorun.inf的内容如下: [autorun] Open=explorer.exe Shellexecute=explorer.exe Shell\Auto\command=explorer.exe Shell=Auto
病毒接下来,会修改注册表的如下地方 SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\ 将CheckedValue值赋为0 […]
Tags: 电脑相关
“自动运行变种IPG”病毒
2007年11月20日
危险等级:★★★病毒名称:Worm.Win32.Autorun.ipg截获时间:2007-9-25入库版本:19.42.20类型:蠕虫病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:感染,下载,传播
这是一个蠕虫病毒,用nspack加壳程序进行保护。
病毒会利用CreateMutex创建一个”baby”的互斥,保证系统中只有一个实例在运行,如这个互斥已经存在,则病毒直接退出。
1、该病毒运行后,驻留内存,释放文件到%Systemroot%\system32目录下名为:crsss.exe,并删除自身,释放的文件名和系统csrss.exe文件名及其相似,以此来迷惑用户。
2、修改如下注册表项:(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run “crsss” = %SYSTEM%\CRSSS.EXE 达到开机自启动目的
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL “CheckedValue” 的值为0X00000000,把文件查看设置不显示隐藏,达到隐藏文件显示的目的.
(3)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main“start page” = HTTP://WWW.HAO123.COM修改IE主页为:HTTP://WWW.HAO123.COM,并且调用系统文件REG.exe不停的在重写该项.
(4)HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001 ,修改IE主页属性使按钮失效,用户无法更改”主页”栏。
(5)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加DisableWindowsUpdateAccess项 并把其键值设为00000001 关闭windows自动更新功能.
3、下载http://aaa.xxxxxx.cn/htm/up1.txt,http://aaa.xxxxxx.cn/down/up2.txt到系统文件夹,然后读取up1.txt和up2.txt的内容(up1.txt和up2.txt的内容为下载木马的网址链接),并把下载的木马到系统文件夹,命名为:temp.exe。
4、病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身niu.exe和autorun.inf.其中autorun.inf的内容为:: [AutoRun]
open=niu.exeshell\open=打开(&O)shell\open\Command=niu.exeshell\open\Default=1shell\explore=资源治理器(&X)shell\explore\Command=niu.EXE
5、每5000毫秒为周期访问系统可用的磁盘,如发现niu.exe和Autorun.inf不在则重写。
[…]
Tags: 电脑相关
“萨博瑞斯蠕虫”病毒
2007年11月20日
危险等级:★★★病毒名称:Worm.Win32.SubRest.a截获时间:2007.09.28入库版本:19.42.51类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:感染EXE文件 ,通过网络、局域网传播
此程序为Worm类型程序 1. 病毒初始化: 病毒运行后,会把自己释放的文件复制到System文件夹下来隐藏自己,不轻易被发现: ctfmon.exe———–病毒自身 nthide.dll————-用来隐藏病毒进程、文件 2. 加载自启动功能: 修改注册表, SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN下增加一个键值 “ctfmon.exe” = C:\WINDOWS\system\ctfmon.exe 以便病毒在系统重新启动后可以继续运行。 3. 关闭系统SFC功能: […]
Tags: 电脑相关
