Win32/Kdcyy.cb

Win32/Kdcyy.cb“千足蟲”變種cb是“千足蟲”家族的最新成員之一，採用VC++ 6.0編寫， 並經過加殼保護處理。“千足蟲”變種cb運行後，自我複製到系統盤根目錄下，檔案名稱隨機生成。利用驅動程式來恢復SSDT Hook，使某些安全軟體的監控失效。強行關閉大部分防毒軟體和安全工具軟體。被感染計算機系統會經常當機或長時間卡住不動。利用“ARP病毒”在區域網路中進行自我傳播。感染除系統盤外所有盤符下的EXE執行檔、網頁檔案、RAR和ZIP壓縮檔中的檔案等(加密感染)，感染後的程式變為16位的圖示，圖示變模糊，類似於馬賽克。一旦發現與安全相關的視窗存在，強行將其關閉。在所有盤符下生成“autorun.inf”和病毒體，並且對這些檔案進行實時檢測保護，利用移動設備進行傳播。破壞註冊表，致使用戶無法進入“安全模式”、無法查看隱藏的系統檔案，致使註冊表啟動項失效。修改註冊表，實現開啟自動播放的功能。強行刪除所有安全軟體的關聯註冊表項，使其無法開啟監控。利用進程守護技術，將病毒的“lsass.exe”、“smss.exe”進程主體和DLL組件進行關聯，實現進程守護，一旦病毒檔案被刪除或被關閉，便馬上生成並重新運行。以系統級許可權運行，部分進程使用了進程保護技術。利用控制台命令來設定病毒程式檔案的訪問運行許可權。利用了關機回寫技術，在關閉計算機時把病毒主程式體保存到[啟動]資料夾中，實現開機自啟動。另外，“千足蟲”變種cb還可以自升級。