Win32/Kdcyy.bk

危險級別：★★

“千足蟲”變種bk運行後，會在被感染計算機系統的“%SystemRoot%\system32\com\”目錄下釋放病毒組件檔案“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，還會在被感染計算機系統的“%SystemRoot%\system32\”目錄下釋放病毒組件檔案“dnsq.dll”。利用驅動程式來恢復SSDT Hook，使某些安全軟體的監控失效。強行關閉大部分防毒軟體和安全工具軟體。被感染計算機系統會經常當機或長時間卡住不動。利用“ARP病毒”在區域網路中進行自我傳播。感染除系統盤外所有盤符下的EXE執行檔、網頁檔案、RAR和ZIP壓縮檔中的檔案等(加密感染)，感染後的程式變為16位的圖示，圖示變模糊，類似於馬賽克。一旦發現與安全相關的視窗存在，強行將其關閉。在所有盤符下生成“autorun.inf”和病毒體，並且對這些檔案進行實時檢測保護，利用移動設備進行傳播。破壞註冊表，致使用戶無法進入“安全模式”、無法查看隱藏的系統檔案，致使註冊表啟動項失效。修改註冊表，實現開啟自動播放的功能。強行刪除所有安全軟體的關聯註冊表項，使其無法開啟監控。利用進程守護技術，將病毒的“lsass.exe”、“smss.exe”進程主體和DLL組件進行關聯，實現進程守護，一旦病毒檔案被刪除或被關閉，便馬上生成並重新運行。以系統級許可權運行，部分進程使用了進程保護技術。利用控制台命令來設定病毒程式檔案的訪問運行許可權。利用了重啟移動檔案的技術，在用戶重新啟動計算機時，會把病毒主程式體移動到系統[啟動]資料夾中，實現開機自啟動。“千足蟲”變種bk會在被感染計算機系統的後台訪問駭客指定的廣告站點，進行提升訪問量，刷網路排名等操作。另外，“千足蟲”變種bk還可以自升級。