Win32.Kriz

Win32.Kriz是一個變形病毒,駐留記憶體,通過感染其他檔案而進行傳播。

基本介紹

  • 中文名Win32.Kriz
  • 處理時間 : 2004-04-16
  • 威脅級別 : ★
  • 病毒類型 : Win32病毒
  • 影響系統:win9x/win2K
基本信息,發作條件,

基本信息

病毒別名:
中文名稱:
病毒行為:
Kriz家族
編寫工具:
asm

發作條件

:
1,當被病毒首次被運行時,病毒修改KERNEL32.DLL,替換了與檔案操作的有關函式,這樣得以駐留記憶體,被接管函式如下:
CopyFileA CopyFileW
CreateFileA CreateFileW
DeleteFileA DeleteFileW
MoveFileA MoveFileExA MoveFileW MoveFileExW
GetFileAttributesA SetFileAttributesW
SetFileAttributesA SetFileAttributesExA
CreateProcessA CreateProcessW
2,檢測並結束下列進程:
_AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,
N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,
NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,
SMSS.EXE
3,病毒在11月25號發作,發作時感染任意類型被操作的檔案,並清除cmos內容,用垃圾數據填充硬碟,擦除cmos的Flash記憶體(和cih病毒操作方式相同)。
4,這個版本還捆綁了一個funlove蠕蟲,同時帶有下列字元串:
T-2000 / Immortal Riot
5,病毒通過打開下列句柄檢測是否被跟蹤:
\ntice \.ice
如果發現被跟蹤也將執行上述破壞代碼.
系統修改:
發作現象:
特別說明:

熱門詞條

聯絡我們