基本介紹
- 外文名:soS.Exe
- 性質:進程檔案
- 檔案大小:28,160 位元組
- 所在位置:%DriveLetter%
基本信息,病毒行為,
基本信息
進程檔案:soS.Exe | |
檔案版本:未知N/A | |
檔案大小:28,160 位元組 | |
所在系統:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003 | |
所在位置:%DriveLetter% | |
MD5校驗碼:80FEEA0D5D3E0F1EDE1C41326F943CA2 | |
進程名稱:Worm.Win32.AutoRun.blg | |
描 述:soS.Exe該病毒屬蠕蟲類,病毒運行後。複製自身到%System32%下,並衍生autorun.inf檔案;複製自身到各個驅動器根目錄下,衍生autorun.inf檔案,以達到雙擊打開盤符自動執行病毒檔案的目的,修改系統時間年份為2000年;修改註冊表,隱藏具有系統屬性和隱藏屬性的檔案,並將其鎖定,使用戶無法進行修改;禁用任務管理器;關閉系統自動升級,鎖定IE主頁,使用戶無法修改,創建啟動項,使病毒能夠隨機運行;連線網路,下載病毒和惡意軟體,並執行,搜尋HTML擴展名的檔案,在後面添加97個空位元組,該病毒應為病毒的測試版本,為以後版本提供便利;病毒運行完畢後刪除自身。 | |
出 品 者:未知N/A | |
屬 於:未知N/A | |
系統進程:否 | |
後台程式:是 | |
使用網路:是 | |
硬體相關:否 | |
常見錯誤:未知N/A | |
記憶體使用:未知N/A | |
風險等級(0-5):4 | |
間諜軟體:否 | |
廣告軟體:否 | |
病毒檔案:是 | |
木馬檔案:否 |
病毒行為
一、病毒運行後會產生一個名為TxHMoU的進程
1、該進程監控註冊表和檔案,防止病毒的註冊表項和病毒檔案被刪除或修改
2、該進程從網上下載大量的病毒
3、當用戶訪問一些帶“防毒”,“瑞星”之內關鍵字的網頁時,病毒會將IE關閉
4、由於監控檔案和註冊表的修改,消耗了系統的大量資源,降低電腦運行速度
二、釋放檔案
1、拷貝自身到C:\WINDOWS\system32\TxHMoU.Exe
2、在每個盤的根目錄釋放
AUToRUN.Inf
soS.Exe
比如在我機器上的情況如下所示
C:\AUToRUN.Inf
C:\soS.Exe
C:\WINDOWS\system32\AUToRUN.Inf
D:\AUToRUN.Inf
D:\soS.Exe
E:\AUToRUN.Inf
E:\soS.Exe
3、下載配置檔案
IE.txt 下載後命名為FSEb.COM,記錄了IE主頁的URL,病毒會將IE主頁修改為此URL
table.txt 下載後命名為FSEx.COM,記錄了一些網頁的關鍵字,如果用戶所訪問的網頁包含有這些關鍵字病毒會關閉IE
url.txt 記錄了病毒要下載的病毒的URL
三、修改註冊表
1、添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
crsss "C:\WINDOWS\system32\TxHMoU.Exe"
2、禁用任務管理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr dword:00000001
3、禁止自動升級
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate
DisableWindowsUpdateAccess dword:00000001
4、禁止顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue dword:00000000
5、修改IE主頁
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page "http://m**n.9**k.com"
6、禁止用戶修改IE主頁
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
HomePage dword:00000001
7、當用戶訪問包含以下關鍵字的網頁時,IE會被關閉