Win32.Kriz是一個變形病毒,駐留記憶體,通過感染其他檔案而進行傳播。
基本介紹
- 中文名:Win32.Kriz
- 處理時間 : 2004-04-16
- 威脅級別 : ★
- 病毒類型 : Win32病毒
- 影響系統:win9x/win2K
基本信息,發作條件,
基本信息
病毒別名:
中文名稱:
病毒行為:
Kriz家族
編寫工具:
asm
發作條件
:
1,當被病毒首次被運行時,病毒修改KERNEL32.DLL,替換了與檔案操作的有關函式,這樣得以駐留記憶體,被接管函式如下:
CopyFileA CopyFileW
CreateFileA CreateFileW
DeleteFileA DeleteFileW
MoveFileA MoveFileExA MoveFileW MoveFileExW
GetFileAttributesA SetFileAttributesW
SetFileAttributesA SetFileAttributesExA
CreateProcessA CreateProcessW
2,檢測並結束下列進程:
_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,
N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,
NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,
SMSS.EXE
3,病毒在11月25號發作,發作時感染任意類型被操作的檔案,並清除cmos內容,用垃圾數據填充硬碟,擦除cmos的Flash記憶體(和cih病毒操作方式相同)。
T-2000 / Immortal Riot
5,病毒通過打開下列句柄檢測是否被跟蹤:
\ntice \.ice
如果發現被跟蹤也將執行上述破壞代碼.
系統修改:
發作現象:
特別說明: