P2P-Worm.Win32.Darby.q

病毒名称:

P2P-Worm.Win32.Darby.q

类别： 蠕虫病毒

病毒资料：

破坏方法：

vb写的蠕虫病毒。

采用文件夹图标，酷似文件夹，欺骗用户点击运行。

一、把自己复制若干份到系统目录：

Image0X.scr

NETCALCSET.BAT

IPPLAYER040A.COM

IPLOADSTAT.PIF

KillUsa.exe

brgCgjB.bat

二、为了随系统启动而自动运行，多处破坏系统的设置。

1.破坏文件关联：

HKCR\exefile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "％1" ％*"

HKCR\batfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "％1" ％*"

HKCR\comfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "％1" ％*"

HKCR\piffile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "％1" ％*"

HKCR\scrfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "％1" /S"

2.注册表自启动项：

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run

"NETCALCSET" : ％SYSTEM％\NETCALCSET.BAT

3.修改win.ini、system.ini 的启动项

4.创建服务：

(Display Name)GEDZAC Service : (IMAGEPATH)％SYSTEM％\NETCALCSET.BAT

5.禁用某些注册表工具和任务管理器：

HKCU\Software\Microsoft\WindowsNT

\CurrentVersion\Policies\System

\DisableRegistryTools = 0x1

HKCU\Software\Microsoft\WindowsNT

\CurrentVersion\Policies\System

\DisableTaskMgr = 0x1

HKCU\Software\Microsoft\Windows

\CurrentVersion\Policies\System

\DisableRegistryTools = 0x1

HKCU\Software\Microsoft\Windows

\CurrentVersion\Policies\System

\DisableTaskMgr = 0x1

三、试探连接局域网上的其他机器，使用下列密码试探(只列出部分)

123

1234

12345

123456

1234567

12345678

654321

54321

111

11111

111111

11111111

000000

00000000

pass

5201314

88888888

888888

passwd

passWord

database

test

server

.......

四、枚举局域网共享可写目录，查找p2p软件共享目录，把自身拷贝过去，命名为下列文件（只列出部分）

divx pro.exe

GTA 3 Crack.exe

GTA 3 Serial.exe

play station emulator.exe

virtua girl - adriana.exe

virtua girl - bailey short skirt.exe

Virtua Girl (Full).exe

warcraft 3 crack.exe

warcraft 3 serials.exe

counter-strike.exe

Delphi.exe

divx_pro.exe

HotGirls.exe

hotmail_hack.exe

pamela_anderson.exe

serials2000.exe

subseven.exe

VB6.exe

Age of Empires 2 crack.exe

Animated Screen 7.0b.exe

.....

五、终止包含下列字符串的进程（只列出部分），一般是反病毒软件的程序。病毒还会删除相应的文件。

avk

ave32

anti-trojan

avsched32

avconsol

ackwin32

autodown

alert

amon

avmon

antivir

avsynmgr

avnt

avrep32

ants

atcon

atupdater

atwatch

autotrace

aplica32

atro55en

aupdate

autoupdate

.......

六、发送携带病毒的邮件。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2005-1-20