Win32.Troj.Delf.qw

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

恶毒者

病毒别名:

Backdoor.Delf.qw【AVP】

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

1317900

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

A、将复制自己为%SysemRoot%empssshost.exe和%System%svshost.exe,文件svshost.exe具有系统、隐藏、只读属性。

B、尝试删除以下主键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

尝试删除以下键值:

HKLMSoftWareMicrosoftwindowsCurrentVersionRun

下面的:

"SKYNET",

"PersonalFireWall"

"iDuba"

"iamapp"

"rfw"

"KVFW"

C、添加以下主键:

HKEY_LOCAL_MACHINESOFTWAREmysoft

HKEY_LOCAL_MACHINESoftwarecontrol

在主键HKEY_LOCAL_MACHINESOFTWAREmysoft

添加以下键值

"Version"=dword:000003e9

"con"="0&0"

D、修改以下键值:

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand

@="C:WINNTSystem32svshost.exe"%1"%*"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"CheckedValue"=dword:2

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN

"DefaultValue"=dword:2

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"HideFileExt"=dword:1

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

"Hidden"=dword:2

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"DisableRegistryTools"=dword:1

"DisableTaskMgr"=dword:1

发作现象:

A、修改注册,禁止用户使用以及导入注册表,禁止任务治理器,修改EXE文件关联到病毒程序,修改注册表使得用户无法显示隐藏文件。

B、记录键盘信息,并将用户的信息,如操作系统版本号,计算机名称,工作组,用户名等等发送给木马种植者。

C、打开后门,供木马种植者上传下载文件。

D、该病毒会感染某些PE文件,将自己写到被感染文件的开头位置,然后在文件末尾增加12个字节,其中8个字节作为感染标记,12个字节如下:

E9030000XXXXXXXX44444444

E、杀掉预定义的防火墙,如天网防火墙,金山网镖,毒霸防火墙,rfw,iamapp等。

pfw.exe,

kvfw.exe,

KAVPFW.EXE,

iamapp.exe,

nmain.exe,

rfw.exe,

freepp.EXE,

freekav.EXE,

freesys.EXE,

Iparmor.exe,

trojan_hunter.exe,

taskmgr.exe

非凡说明:

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航