病毒名称(中文):
瑞普
病毒别名:
Trojan.Reper[KV]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
40448
影响系统:
Win9xWinNT
病毒行为:
该病毒伪装成记事本文件,一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就静静地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项,以使每次开机都运行病毒;病毒还修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又静静地运行起来。病毒会关闭Windows任务治理器,注册表编辑器,进程查看器,命令行窗口程序,进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程,这将关闭众多的反病毒软件,大大降低了中毒机器的安全性能,给其他病毒大开方便之门。病毒还激活guest帐户,添加一个治理员帐户,并且删除默认的治理员帐户"Administrator",为黑客攻击打开后门。
1.病毒检查当前目录,假如是根目录,就创建Explorer进程,打开当前目录;假如不是根目录,就创建互斥体nothing,防止多个实例同时运行
。
2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\login.pif
C:\DocumentsandSettings\<当前用户名>\「开始」菜单\程序\启动\login.pif
修改文件C:\autoexec.bat内容。
并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe(该文件是病毒的副本)
autorun.inf
autorun.inf文件的内容为:
[autorun]
open=reper.exe
当用户打开磁盘的时候病毒就自动运行了。
3.修改注册表。
添加启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"
修改文本文件关联程序为病毒文件:
HKCR\txtfile\shell\open\command"默认"="%System%\N0TEPAD.EXE%1"
4.创建两个线程,一个时钟。
1)一个线程用来关闭特定的进程:
regedit.exe
cmd.exe
ntvdm.exe
以及进程名中包含任意任意一下字符串的进程:
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"
2)另一个进程用来每2分钟运行一次C:\autoexec.bat。该文件被修改以后运行,将激活guest帐户,添加一个治理员帐户,并且删除默认的治理员帐户"Administrator"。
3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。