病毒名称(中文):
恶毒者
病毒别名:
Backdoor.Delf.qw【AVP】
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
1317900
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
A、将复制自己为%SysemRoot%empssshost.exe和%System%svshost.exe,文件svshost.exe具有系统、隐藏、只读属性。
B、尝试删除以下主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
尝试删除以下键值:
HKLMSoftWareMicrosoftwindowsCurrentVersionRun
下面的:
"SKYNET",
"PersonalFireWall"
"iDuba"
"iamapp"
"rfw"
"KVFW"
C、添加以下主键:
HKEY_LOCAL_MACHINESOFTWAREmysoft
HKEY_LOCAL_MACHINESoftwarecontrol
在主键HKEY_LOCAL_MACHINESOFTWAREmysoft
添加以下键值
"Version"=dword:000003e9
"con"="0&0"
D、修改以下键值:
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand
@="C:WINNTSystem32svshost.exe"%1"%*"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN
"CheckedValue"=dword:2
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN
"DefaultValue"=dword:2
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"HideFileExt"=dword:1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"Hidden"=dword:2
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableRegistryTools"=dword:1
"DisableTaskMgr"=dword:1
发作现象:
A、修改注册,禁止用户使用以及导入注册表,禁止任务治理器,修改EXE文件关联到病毒程序,修改注册表使得用户无法显示隐藏文件。
B、记录键盘信息,并将用户的信息,如操作系统版本号,计算机名称,工作组,用户名等等发送给木马种植者。
C、打开后门,供木马种植者上传下载文件。
D、该病毒会感染某些PE文件,将自己写到被感染文件的开头位置,然后在文件末尾增加12个字节,其中8个字节作为感染标记,12个字节如下:
E9030000XXXXXXXX44444444
E、杀掉预定义的防火墙,如天网防火墙,金山网镖,毒霸防火墙,rfw,iamapp等。
pfw.exe,
kvfw.exe,
KAVPFW.EXE,
iamapp.exe,
nmain.exe,
rfw.exe,
freepp.EXE,
freekav.EXE,
freesys.EXE,
Iparmor.exe,
trojan_hunter.exe,
taskmgr.exe
非凡说明:
