基本介紹
- 中文名:系統殺軟大殺器16846
- 外文名:VBS.DNAOrder3.aa.16846
- 威脅級別:★★☆☆☆
- 病毒類型:網頁病毒
- 病毒長度:16845
- 影響系統:WinMe WinNT Win2000 WinXP等
- 運行方式:2種
- 傳播途徑:通過區域網路共享和網頁傳播
- 病毒特點:病毒具有自動更新的功能
基本信息,複製檔案,改動,破壞方式,
基本信息
病毒名稱(中文):
系統殺軟大殺器16846病毒別名:
威脅級別:
★★☆☆☆病毒類型:
網頁病毒病毒長度:
16845影響系統:
Win9x WinMe WinNT Win2000 WinXP Win2003
複製檔案
%windir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%system32dir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%windir%\OK.ini
改動
添加:
[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load]
指向 %system32dir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
添加到系統啟動項,隨系統開機啟動。
修改:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\]
使其指向%SystemRoot%\System32\WScript.exe,並添加病毒檔案完整路逕到參數中。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue] REG_DWORD 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden] REG_DWORD 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun] REG_DWORD 129
[HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout] REG_DWORD 0
設定腳本執行的逾時時間為無窮大。
破壞方式
病毒會以兩種方式運行:
如果為html等格式中嵌入的腳本,則只執行侵入系統的一些操作;
如果為vbs腳本直接運行,則會感染系統檔案等更多的破壞操作。
1)降低系統安全級別
設定腳本執行的逾時時間為無窮大;
病毒運行後,禁用了資源管理器的“顯示隱藏檔案”等選項;
另外,病毒還打開驅動器的自動運行選項。
2)修改文本檔案的打開方式為WScript.exe打開,同時添加參數指向病毒檔案,雙擊打開文本檔案時會執行病毒程式。
3)添加到所有磁碟根目錄下,並添加autorun.inf檔案,雙擊打開驅動器則會運行病毒程式。
4)感染檔案
主要感染兩類檔案。
對於"hta","htm" , "html" , "asp","vbs","mpg", "rmvb", "avi", "rm"等格式的檔案進行感染。
5)禁用安全軟體
腳本會搜尋系統中是否存在以下進程:
"ras.exe","360tray.exe","taskmgr.exe","regedit.exe","msconfig.exe","SREng.exe","USBAntiVir.exe",
如果有這些進程,則關閉之,並重新對系統進行感染。
6)其他
腳本具有版本控制,如果發現系統中已有的版本比當前病毒版本低,則會刪除原來的檔案,更新到當前的病毒版本。
