病毒名称(中文):
德德乐
病毒别名:
Net-Worm.Win32.Dedler.u[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
38470
影响系统:
Win9xWinNT
病毒行为:
这是一个通过邮件传播的蠕虫病毒。该病毒发作的时候会关闭某些反病毒软件开启的服务;屏蔽某些反病毒网站,使得用户无法登陆;通过TCP5190端口连接到login.icq.com等待接收黑客发送来的命令;在本地收集邮件地址并将病毒做为附件,将邮件发送到邮件接收者。该病毒会给用户带来系统安全性严重下降,某些安全网站无法登陆,机器被黑客控制等重大威胁。
1)建立互斥体4D36E64A-E325-111E-BFC1-080C2BE11318,防止多个实例同时运行
2)将病毒拷贝到%System%\csmrs.exe
3)在注册表中添加启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsInstaller"="%System%\csmrs.exe"
4)通过TCP5190端口连接到login.icq.com等待接收黑客发送来的命令
5)关闭下列安全软件开启的服务:
nwclntserv
wuauserv
navapsvc
SymantecCoreLC
SAVScan
kavsvc
NetworkClient
NetworkClientMonitor
6)用来发送带毒邮件的名字:
Jacky
Kate
Denny
Julia
Neo
Alan
JJuan
Natan
Garry
Nick
Bob
John
7)病毒会屏蔽以下安全网站:
ids.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
download.mcafee.com
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
www.grisoft.com