病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
影响系统:
Win9xWin2000
病毒行为:
Kriz家族
编写工具:
asm
传染条件:
这是一个变形病毒,驻留内存,通过感染其他文件而进行传播。
发作条件:
1,当被病毒首次被运行时,病毒修改KERNEL32.DLL,替换了与文件操作的有关函数,这样得以驻留内存,被接管函数如下:
CopyFileACopyFileW
CreateFileACreateFileW
DeleteFileADeleteFileW
MoveFileAMoveFileExAMoveFileWMoveFileExW
GetFileAttributesASetFileAttributesW
SetFileAttributesASetFileAttributesExA
CreateProcessACreateProcessW
2,检测并结束下列进程:
_AVP32.EXE,_AVPM.EXE,ALERTSVC.EXE,AMON.EXE,AVP32.EXE,AVPM.EXE,
N32SCANW.EXE,NAVAPSVC.EXE,NAVAPW32.EXE,NAVLU32.EXE,NAVRUNR.EXE,
NAVWNT.EXE,NOD32.EXE,NPSSVC.EXE,NSCHEDNT.EXE,NSPLUGIN.EXE,SCAN.EXE,
SMSS.EXE
3,病毒在11月25号发作,发作时感染任意类型被操作的文件,并清除cmos内容,用垃圾数据填充硬盘,擦除cmos的Flash记忆体(和cih病毒操作方式相同)。
4,这个版本还捆绑了一个funlove蠕虫,同时带有下列字符串:
T-2000/ImmortalRiot
5,病毒通过打开下列句柄检测是否被跟踪:
\ntice\.ice
假如发现被跟踪也将执行上述破坏代码.
系统修改:
发作现象:
非凡说明:
