這是一個Virutal Basic編寫的蠕蟲病毒,用UPX加殼程式進程保護。
基本介紹
- 中文名:Worm.Win32.VB.mq
- 危險等級:★★★
- 病毒名稱:Worm.Win32.VB.mq
- 截獲時間:2007-9-13
病毒摘要,技術細節,安全建議,清除辦法,
病毒摘要
危險等級:★★★
病毒名稱:Worm.Win32.VB.mq
截獲時間:2007-9-13
入庫版本:19.19.42
類型:病毒
感染的作業系統:Windows XP, Windows NT, Windows Server 2003, Windows 2000 字串9
威脅情況: 字串7
傳播級別:高 字串3
全球化傳播態勢:低
清除難度:困難 字串2
破壞力:高
破壞手段:隱藏其他惡意程式 字串3
技術細節
該病毒運行後,首先把自身複製在All User的啟動文夾中更名為startup.bat並運行(如:C:\Documents and Settings\All Users\「開始」選單\程式\啟動).
接著病毒還會將自身複製到多個系統目錄中,路徑為%Windir%,子目錄名從下列路徑名為隨機抽取(\system,\web,\fonts,\temp,\help)檔案名稱在下列檔案名稱中隨機抽取(winlogon.exe,csrss.exe,taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒會將自身更名為下列三個檔案名稱稱regedit.exe,notepad.exe,msconfig.exe,並複製到%SYSTEM32%目錄中, 替換已經存在的正常檔案(regedit.exe,msconfig.exe),並將正常的regedit.exe,msconfig.exe複製到% WinDir%目錄中備用,用戶在執行這三個程式的同時必定會使病毒也執行起來.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"HideFileExt" = 0X00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"Hidden" = 0X00000000 字串3
病毒會執行下列命令,使中毒計算機完全暴露在網路中,便於病毒作者進行其它的操作.
如:
cmd /c net share C$=c:\
cmd /c net share D$=d:\
將計算機的C糟和D糟共享.
cmd /c net user admin /add
添加一個"admin"的用戶
cmd /c net localgroup administrators admin /add
將"admin"的用戶加入到本地的administrators組中,得到最大的控制權 字串1
病毒遍曆本地所有存儲設備,向可移動存儲設備中,寫入病毒本身(名字改為"command.com") 和autorun.inf.其中autorun.inf的內容為:
[autorun]
OPEN=Comand.com
Shellexecute=comand.com
Shell\explorer\command=comand.com
病毒在遍曆本地存儲設備的同時,會在本地所有硬碟的根目錄中複製一個和目錄名相同的病毒檔案,迷惑用戶.
總結:這個病毒具有較大的破壞性和傳播性,其檔案圖示為Windows系統的資料夾圖示,用戶非常容易受到迷惑,輕易點擊該病毒.該病毒還會將用戶常用的一些檔案進行替換,使用戶在不知不覺中,就可以中招,十分陰險.另外該病毒還可以通過移動設備進行傳播. 字串6
安全建議
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。 字串3
4 不接收QQ、MSN、Emial等傳來的可疑檔案。 字串6
6 把網銀、網遊、QQ等重要軟體加入到“瑞星賬號.保險柜”中,可以有效保護密碼安全。
清除辦法
1 . 瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到19.19.42版以上,對電腦進行全盤掃描,按照軟體.提示進行操作,即可徹底查殺。
