病毒名称:
Worm.Win32.Dedler.d
类别: 蠕虫病毒
病毒资料:
破坏方法:
蠕虫病毒
病毒使用VC编写,采用"Crypter v1.x"和"UPX"进行压缩。
病毒运行后将自己复制到%SYSDIR%目录下,文件名为"csmrs.exe"。
创建名为"4D36E64A-E325-111E-BFC1-080C2BE11318"的互斥量,以确保只有一个病毒文件在运行。
修改注册表以下键值,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
数据项名称可能为:
"WIN95DEFVIEW"、
"VC5MediaPlayer"、
"WindowsInstaller"、
"MsgApi"
数据值为:"%SYSDIR%\CSMRS.EXE"
查看当前系统中是否有以下服务,如果有病毒将会把这服务删除:
"nwclntserv"
"wuauserv"
"navapsvc"
"Symantec Core LC"
"SAVScan"
"kavsvc"
"Network Client"
"Network Client Monitor"
删除注册表以下键值:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
数据项:
"ActiveXUpdate"、
"MicrosoftOEM"、
"SoundControl"、
"OfficeGuardUI"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
数据项:
"ActiveXUpdate"、
"MicrosoftOEM"、
"SoundControl"、
"OfficeGuardUI"
修改系统文件"HOST",导致用户无法正常访问以下网站:
ids.kASPersky-labs.com
downloads2.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
download.McAfee.com
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
www.grisoft.com
下载指定网址的文件到本地计算机并运行。
连接"login.icq.com"通过ICQ为控制端提供远程控制服务。
通过网络进行传播。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-13