Win32/Kdcyy.cn“千足蟲”變種cn是“千足蟲”家族的最新成員之一,採用VC++ 6.0編寫, 並經過加殼保護處理。“千足蟲”變種cn運行後,自我複製到系統盤根目錄下,檔案名稱隨機生成。利用驅動程式來恢復SSDT Hook,使某些安全軟體的監控失效。強行關閉大部分防毒軟體和安全工具軟體。被感染計算機系統會經常當機或長時間卡住不動。利用“ARP病毒”在區域網路中進行自我傳播。感染除系統盤外所有盤符下的EXE執行檔、網頁檔案、RAR和ZIP壓縮檔中的檔案等(加密感染),感染後的程式變為16位的圖示,圖示變模糊,類似於馬賽克。一旦發現與安全相關的視窗存在,強行將其關閉。在所有盤符下生成“autorun.inf”和病毒體,並且對這些檔案進行實時檢測保護,利用移動設備進行傳播。破壞註冊表,致使用戶無法進入“安全模式”、無法查看隱藏的系統檔案,致使註冊表啟動項失效。修改註冊表,實現開啟自動播放的功能。強行刪除所有安全軟體的關聯註冊表項,使其無法開啟監控。利用進程守護技術,將病毒的“lsass.exe”、“smss.exe”進程主體和DLL組件進行關聯,實現進程守護,一旦病毒檔案被刪除或被關閉,便馬上生成並重新運行。以系統級許可權運行,部分進程使用了進程保護技術。利用控制台命令來設定病毒程式檔案的訪問運行許可權。利用了關機回寫技術,在關閉計算機時把病毒主程式體保存到[啟動]資料夾中,實現開機自啟動。另外,“千足蟲”變種cn還可以自升級。
基本介紹
- 中文名:Win32.Kdcyy.cn
- 病毒長度:94208位元組
- 危險級別:★★
- 病毒類型:c