Worm.Win32.DownLoad.b

瑞星將該病毒定義為:Worm.Win32.DownLoad.b

基本介紹

  • 中文名:Worm.Win32.DownLoad.b
  • 類型:病毒
  • 源檔案:c:\autorun.inf
  • 鍵值:DWORD: 1 (0x1)
病毒簡介,詳細,

病毒簡介

病毒所包括的源檔案有
c:\autorun.inf
c:\niu.exe
c:\WINDOWS\system32\Autorun.inf
c:\WINDOWS\system32\crsss.exe
以及其它所有盤根目錄下有
autorun.inf
niu.exe

詳細

autorun.inf內容
其中autorun.inf檔案里的內容為
[AutoRun]
open=niu.exe
shell\open=打開(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=niu.EXE
修改系統時間為2000年
修改註冊表項
添加註冊表啟動項指向c:\WINDOWS\system32\crsss.exe
rem 添加以下註冊表項,禁用任務管理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
鍵值: DWORD: 1 (0x1)
rem 添加以下註冊表項,禁用Windows更新程式
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate DisableWindowsUpdateAccess
鍵值: DWORD: 1 (0x1)
rem 添加映像關聯,導致防毒軟體無法使用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
rem 修改註冊表項,導致無法顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN Text
舊: 字元串: "@shell32.dll,-30501"
新: 字元串: "禽獸尚且有半點憐憫之心,而我一點沒有,所以我不是禽獸."
rem 修改註冊表項,導致無法顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue
鍵值: 字元串: "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue
鍵值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HelpID
鍵值: 字元串: "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HKeyRoot
鍵值: DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL RegPath
鍵值: 字元串: "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Text
鍵值: 字元串: "@shell32.dll,-30500"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Type
鍵值: 字元串: "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ValueName
鍵值: 字元串: "Hidden"
rem 刪除進入安全模式的註冊表項,導致你進入安全模式就會藍屏
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 默認
鍵值: 字元串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 默認
鍵值: 字元串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 默認
鍵值: 字元串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 默認
鍵值: 字元串: "DiskDrive"
清除niu病毒(病毒源檔案包括autorun.inf,niu.exe,crsss.exe)

相關詞條

熱門詞條

聯絡我們