病毒别名:Worm.Win32.Dedler.p[AVP]
处理时间:
威胁级别:★★
中文名称:
病毒类型:蠕虫
影响系统:WinNT
病毒行为:
这是一个蠕虫病毒。该病毒会创建一项nwclntserv,对服务的描述是"Network Client-Server",服务通过该服务实现开机运行病毒程序。它会清除该类病毒以前版本在注册表留下的某些启动项,以更好的隐藏自己。它运行后主动连接ICQ服务器,自动登陆。然后通过ICQ进行传播。
1.复制自己到如下目录:
%System%srvss.exe
2.修改注册表:
添加:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
wclntserv
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="%System%srvss.exe"
"DisplayName"="Network Client-Server"
"ObjectName"="LocalSystem"
"Description"="Creates and maintains client network connections to remote servers. If this service is stopped, these connections will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start."
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
wclntservSecurity
"Security"="<系统相关>"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
wclntservEnum
"0"="Root\LEGACY_NWCLNTSERV\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NWCLNTSERV
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NWCLNTSERV�000
"Service"="nwclntserv"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="<系统相关>"
"DeviceDesc"="Network Client-Server"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NWCLNTSERV�000Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="nwclntserv"
删除以下启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
或者
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
下面的:
"OfficeGuardUI"
"SoundControl"
"MicrosoftOEM"
"ActiveXUpdate"
3.创建自启动服务nwclntserv,服务程序为%System%srvss.exe.
4.病毒将经由TCP端口5190连接ICQ服务器,并通过ICQ来接收下列命令:
启动/关闭/下载更新病毒程序
执行命令
盗取计算机信息等。
5.病毒将向打开的网络共享目录下写入病毒文件。