基本介紹
基本信息,危害綜述,病毒特徵,清除方法,防範措施,
基本信息
危害等級:★★★★
危害綜述
該系列病毒主要技術特點如下:
A.改進的郵件傳播方式,能夠隨機根據收件箱中的已有郵件向外傳播自己,帶毒郵件的主題和內容跟原始郵件有關;將病毒副本做為附屬檔案,附屬檔案名稱隨機,極具迷惑性
B.釋放木馬到系統目錄,以服務的形式運行,服務名稱模仿系統正常服務;監聽連線埠,允許黑客控制被感染的計算機,盜取用戶帳號等信息
C.修改註冊表的啟動項,txt和exe檔案關聯,win.ini檔案
D.搜尋本地網路已分享資料夾,通過可寫的已分享資料夾感染
E. 猜測區域網路中NT/2000/XP機器的Administrator、Guest用戶密碼,一旦猜中就將自己複製到對方機器,然後偽裝成類似“Microsoft NetWork FireWall Services”的服務運行
F.感染EXE檔案,寄生到可執行程式的頭部
G.運行一個監控進程,當病毒終止時立即重新裝載,反覆重寫註冊表,終止一些知名的反病毒軟體
病毒特徵
1、在進行QQ聊天時會在訊息中加入信息"向你介紹一個好看的動畫網: http://flash2.533.net "
2、當瀏覽帶毒網站時,會利用IE漏洞,嘗試新增sys檔案和tmp檔案的執行關聯,並下載執行病毒檔案 b.sys,如果IE已經打上補丁,則會彈出一個外掛程式對話框,引誘用戶安裝,安裝後會將自己安裝到 %Windows%Downloaded Program Files 資料夾中,檔案名稱為 "b.exe",如果用戶拒絕安裝該外掛程式,會不斷彈出對話框要求用戶安裝。
3、複製檔案:
A、複製病毒體到 %SystemRoot% 資料夾中,檔案名稱為"Rundll32.exe";
B、複製病毒體為 "C:\cmd.exe";
C、試圖複製病毒體到已分享資料夾中,名為"病毒專殺.exe"和"周杰倫演唱會.exe"。
4、添加註冊表啟動項,以隨機啟動在註冊表的主鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run添加以下鍵值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
5、修改和新增以下檔案關聯
A、修改.exe檔案的關聯,每當執行exe檔案時,即首先執行病毒預先複製的病毒檔案。在註冊表的主鍵:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下鍵值:默認="C;\cmd.exe %1 &*"
B、新增.sys檔案的執行關聯,使得在瀏覽帶毒網站時執行病毒檔案 b.sys在註冊表的主鍵: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下鍵值:默認="""%1"" %*"
C、新增.tmp檔案的執行關聯在註冊表的主鍵:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值:默認="""%1"" %*"
6、試圖偷傳奇遊戲的密碼,並通過自帶的郵件引擎以"[email protected]"的名義傳送到"[email protected]"信箱中。
7、在Win2000、WinXP、Win2003系統中,系統檔案"Rundll32.exe"就在系統目錄中,因而病毒會嘗試將該檔案覆蓋,但這幾個系統都能自動保護並恢復受到破壞的系統檔案,因而病毒不能正常載入,但仍可以通過EXE關聯被載入.
清除方法
A、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能;
B、重新啟動到安全模式下;
C、先將regedit.exe改名為regedit.com,再用資源管理器結束cmd.exe進程,然後運行regedit.com,將EXE關聯修改為""%1" %*",再刪除以下檔案:C:\cmd.exe、%Windows%\Download Program Files\b.exe。對於Win9x系統,還要刪除%SystemRoot%\Rundll32.exe,再到已分享資料夾中看有沒有"病毒專殺.exe"和"周杰倫演唱會. exe"這兩個檔案,檔案大小為11184位元組,如果有,將其刪除。
D、清理註冊表:
打開註冊表,刪除主鍵 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\ open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的鍵值為 "%1" %*
防範措施
不要輕易點擊QQ上的不明連結,不要安裝來歷不明的外掛程式(如該病毒網站上所謂的"動畫播放外掛程式2.0")。
