病毒名称:
Trojan.Win32.Slave
类别: 木马病毒
病毒资料:
破坏方法:
木马病毒
病毒采用VB编写,UPX压缩。
病毒运行后有以下行为:
一、将自己复制为以下文件:
1.C:\WINDOWS\msslave.exe
2.C:\WINNT\msslave.exe
二、修改注册表以下键值:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"Service Pack 3"
数据值为:"MSSLAVE.EXE"
(修改该项可以使系统每次启动时运行病毒)
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\policies\system
修改数据项:"disabletaskmgr"
修改数据值为:0X00000001
(修改该项可以使系统无法运行任务管理器)
3.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\policies\system
修改数据项:"disableregistrytools"
修改数据值为:0X00000001
(修改该项可以使系统无法运行注册表编辑工具)
4.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Policies\EXPlorer
修改数据项:"norun"
修改数据值为:0X00000001
(修改该项可以使系统开始菜单中没有"运行"这一项)
5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\ComputerName\activeComputerName
修改数据项:"computername"
修改数据值为:"Agent Hacker"
(修改该项使当前计算机名为"Agent Hacker")
6.HKEY_LOCAL_MACHINE\software\microsoft
\windows\currentversion\windowsupdate\auto update\
修改数据项:(默认)
修改数据值为:"MSSLAVE.EXE"
(修改该项使系统在升级时使用病毒文件--"MSSLAVE.EXE")
7.增加注册表键:
HKEY_LOCAL_MACHINE\software\microsoft
\windows\currentversion\runservices-
三、查看当前系统中是否有以下进程,如果有则强行将它们结束:
_Avpcc.exe
_avpm.exe
_findviru.exe
Ackwin32.exe
Alogserv.exe
Amon.exe
Anti -trojan.exe
F-prot95.exe
Fp-win.exe
Guarddog.exe
Iamapp.exe
Iomon98.exe
Lookout.exe
Navapsvc.exe
Navapw32.exe
……
(篇幅过长不能全部列出)
四、检测当前计算机是否连接网络,如果是病毒将从指定的网站下载其他的病毒文件到本地运行。
五、对以下几个网站发送55555个长度为2000个字节的垃圾数据包:
www.microsoft.com
www.hotmail.com
www.fbi.gov
www.symantec.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-29