這是一種蠕蟲病毒,這是"死亡之吻"的一個新變種,與以前版本區別是此版本的變種只感染exe檔案·
基本介紹
- 中文名:死亡之吻
- 外文名:Worm.Death.ad
- 處理時間:2007-04-12
- 病毒類型:蠕蟲
Worm.Death.ad,病毒行為,感染類型,建議,
Worm.Death.ad
威脅級別:★★
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1.在病毒所在目錄下釋放感染前原檔案%病毒腿嬸狼名%1L1~.exe
並往系統目錄裡面釋放一個病毒體
%system%\\Supervise.exe (Worm.Death.ad.103936)
2.修改註冊表
使"顯示隱藏檔案"不可選
HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
"CheckedValue" = "0x00"
嘗試刪除註冊表鍵值
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
ProxyServer
ProxyOverrade
AutoConfigURL
添加自啟動項
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
"Supervise.exe" = "%system%\\Supervise.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
"Death.exe" = "%system%\Death.exe" (沒有此檔案)
3.中止進程
病毒中止以下進程名的進程
EGHOST.EXE
MAILMON.exe
kavpfw.exe
iparmor.exe
_AVP32.EXE
_AVPCC.exe
_avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
RKVXP.kxp
KvmonXP.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe
runiep.exe
4.枚舉視窗
病毒枚舉桌面上的視窗,向視窗名為以下字元的視窗傳送退出的訊息
Symantec AntiVirus 企業版
江民防毒軟體 KV2006:實時監視
LockDownMain
ZoneAlarm
天嚷連試網防火牆個人版
天網防火牆企業版
VirusScan
Symantec Antivirus
DubaWrapped gift Killer
IceSword
pjf(ustc)
噬菌體
木馬臘凶雄剋星
感染類型
一、在本機傳播
病毒會感染擴展名為EXE的檔案,感染方式是疊加感染。
二、區域網路傳播
病毒生成密碼字典C:\pass.dic
並使用該字典上面的密碼嘗試登錄區域網路內機器
若登錄成功,則員櫻感染該機
三、移動硬碟或隨身碟
病毒會在移動存儲器的分區裡面生成autorun.ini
寫入以下內容
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
並拷貝一個病毒體到分區裡面,一但用戶不注意時,病毒就傳染到另一台機器上.
建議
2.隨采贈槳再著網路的發展檔祖轎,許多病毒也伴隨而來,一些病毒專門竊取用戶的個人隱私、個人數據信息等,並對用戶的信息泄露或給用戶造成更大的危害,請用戶增強自己的安全防範意識,多瀏覽反病毒網站上的相關安全信息,切實做好自己的安全工作,才能避免病毒給您帶來的麻煩。
3.用戶設定登錄帳號的密碼不能過於簡單,更不能為空。
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
RKVXP.kxp
KvmonXP.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe
runiep.exe
4.枚舉視窗
病毒枚舉桌面上的視窗,向視窗名為以下字元的視窗傳送退出的訊息
Symantec AntiVirus 企業版
江民防毒軟體 KV2006:實時監視
LockDownMain
ZoneAlarm
天網防火牆個人版
天網防火牆企業版
VirusScan
Symantec Antivirus
DubaWrapped gift Killer
IceSword
pjf(ustc)
噬菌體
木馬剋星
感染類型
一、在本機傳播
病毒會感染擴展名為EXE的檔案,感染方式是疊加感染。
二、區域網路傳播
病毒生成密碼字典C:\pass.dic
並使用該字典上面的密碼嘗試登錄區域網路內機器
若登錄成功,則感染該機
三、移動硬碟或隨身碟
病毒會在移動存儲器的分區裡面生成autorun.ini
寫入以下內容
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
並拷貝一個病毒體到分區裡面,一但用戶不注意時,病毒就傳染到另一台機器上.
建議
2.隨著網路的發展,許多病毒也伴隨而來,一些病毒專門竊取用戶的個人隱私、個人數據信息等,並對用戶的信息泄露或給用戶造成更大的危害,請用戶增強自己的安全防範意識,多瀏覽反病毒網站上的相關安全信息,切實做好自己的安全工作,才能避免病毒給您帶來的麻煩。
3.用戶設定登錄帳號的密碼不能過於簡單,更不能為空。