病毒名称:
P2P-Worm.Win32.Darby.q
类别: 蠕虫病毒
病毒资料:
破坏方法:
vb写的蠕虫病毒。
采用文件夹图标,酷似文件夹,欺骗用户点击运行。
一、把自己复制若干份到系统目录:
Image0X.scr
NETCALCSET.BAT
IPPLAYER040A.COM
IPLOADSTAT.PIF
KillUsa.exe
brgCgjB.bat
二、为了随系统启动而自动运行,多处破坏系统的设置。
1.破坏文件关联:
HKCR\exefile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\batfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\comfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\piffile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\scrfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" /S"
2.注册表自启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
"NETCALCSET" : %SYSTEM%\NETCALCSET.BAT
3.修改win.ini、system.ini 的启动项
4.创建服务:
(Display Name)GEDZAC Service : (IMAGEPATH)%SYSTEM%\NETCALCSET.BAT
5.禁用某些注册表工具和任务管理器:
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
\DisableRegistryTools = 0x1
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
\DisableTaskMgr = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
\DisableRegistryTools = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
\DisableTaskMgr = 0x1
三、试探连接局域网上的其他机器,使用下列密码试探(只列出部分)
123
1234
12345
123456
1234567
12345678
654321
54321
111
11111
111111
11111111
000000
00000000
pass
5201314
88888888
888888
passwd
passWord
database
test
server
.......
四、枚举局域网共享可写目录,查找p2p软件共享目录,把自身拷贝过去,命名为下列文件(只列出部分)
divx pro.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
play station emulator.exe
virtua girl - adriana.exe
virtua girl - bailey short skirt.exe
Virtua Girl (Full).exe
warcraft 3 crack.exe
warcraft 3 serials.exe
counter-strike.exe
Delphi.exe
divx_pro.exe
HotGirls.exe
hotmail_hack.exe
pamela_anderson.exe
serials2000.exe
subseven.exe
VB6.exe
Age of Empires 2 crack.exe
Animated Screen 7.0b.exe
.....
五、终止包含下列字符串的进程(只列出部分),一般是反病毒软件的程序。病毒还会删除相应的文件。
avk
ave32
anti-trojan
avsched32
avconsol
ackwin32
autodown
alert
amon
avmon
antivir
avsynmgr
avnt
avrep32
ants
atcon
atupdater
atwatch
autotrace
aplica32
atro55en
aupdate
autoupdate
.......
六、发送携带病毒的邮件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-20