威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个硬盘杀手。该病毒会向硬盘分区起始扇区写入垃圾数据破坏硬盘,给破坏的硬盘数据很难恢复。建议中毒用户若有重要数据要恢复应求助于专业数据恢复机构,不要试图自行恢复,以免造成不可挽回的损失。
1、生成的文件
%documents and settings%\%user%lsass.exe
%documents and settings%All Userslsass.exe
%system_volume%system_volumelsass.exe
%system_volume%system_volumedesktop.ini
2、非系统盘里添加autorun.inf启动
-------------------------------------
[autorun]
open=.system_volumesystem_volumelsass.exe
shell1=Sb_&
shell1command=.system_volumesystem_volumelsass.exe
shell2=
shell2command=.system_volumesystem_volumelsass.exe
shellexecute=.system_volumesystem_volumelsass.exe
-------------------------------------
3、病毒不停的设置隐藏属性,是系统总是不显示隐藏文件
HKCUsoftwaremicrosoftwindowscurrentversionexploreradvanced
"hidden" = "0x2"
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"ShowSuperHidden" = "0x0"
4、该病毒在系统中安装一类型为:WH_MSGFILTER消息钩子。
5、该病毒会运行tskill.exe和ntsd.exe命令结束下列名称进程
kvmonxp.kxp
shstat.exe
ravmon.exe
avp.exe
