病毒名称:
Worm.Deadhat
类别: 蠕虫
病毒资料:
破坏方法:
一个利用P2P共享目录及MyDoom留的后门进行传播的蠕虫病毒
病毒行为:该病毒运行后将自己复制到%system%目录下。并在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
中加入自己的键值:KernelFaultChk以达到随系统启动的目的。
P2P共享目录传播:
病毒将自己复制到p2p软件的共享目录中,文件名为一些软件的破解或序号生成器以诱骗网络用户下载。
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.ProdUCts.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRAR.exe
WinAMP5.Crack.exe
利用MyDoom留的后门进行传播:
病毒随机扫描MyDoom留的后门端口,并尝试利用该后门将自己复制过去以便去清除Mydoom从而也达到了传播自己的目的。
进程监视:
病毒扫描系统进程例表当发现和体内的“黑名单”相符的将结束该进程。
avconsol ,apvxdwin ,ackwin32 ,blackice ,blackd ,dv95 ,espwatch ,esafe efinet32 ,ecengine ,f-stopw ,frw ,fp-win ,f-prot95 ,f-prot95 ,f-prot fprot
,f-agnt95 ,gibe ,iomon98 ,iface ,icsupp ,iCssuppnt ,icmoon ,icmon icloadnt ,icload95 ,ibmavsp ,ibmasn ,iamserv ,iamapp ,kpfw32 ,
nvc95 ,nupgrade nupdate ,normist ,nmain ,nisum ,navw ,navsched ,navnt ,navlu32 ,navapw32
zapro,Document ,readme ,doc ,text ,file ,data ,test ,message ,body ,taskmon xsharez_scanner ,BlackIce_Firewall_Enterpriseactivation_crack ,zapSetup_95_693 MS59-56_hotfix ,winamp0 ,NessusScan_pro ,attackXP-6.71.....
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-10