病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
43552
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个集黑客与蠕虫一体的综合性病毒。通过socket网络文件传输以及p2p软件KAZAA诱使用户下载进行传播;该病毒发作后,关闭用户的任务治理器以及注册表进程;该病毒会主动连接设定的IRC服务器,供黑客进行远程控制及文件下载;该病毒使用户的信息安全得不到保障,以及留下了被窥视的心理阴影,造成严重的物质与精神损失。中毒特征:注册表、任务治理器、msconfig.exe打开后,很快被关闭。
1,生成文件
%system%\wuaghqr.exe
%system%\kazaabackupfiles\zoneallarm_pro_crack.exe
%system%\kazaabackupfiles\Porn.exe
%system%\kazaabackupfiles\AVP_Crack.exe
%system%\keylog.txt
2,添加注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Winsocgfhkdriver="wuaghqr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winsocgfhkdriver="wuaghqr.exe"
HKEY_CURRENT_USER\Software\KAZAA\LocalContent
Dir0="012345:C:\WINNT\System32\kazaabackupfiles\"
3,关闭以下进程
NETSTAT.EXE
TASKMGR.EXE
MSCONFIG.EXE
REGEDIT.EXE
4,使用IRC命令
scan
redirect
CHAT
SEND
rename
get
killthread
sendkeys
killprocess
list
makedir
execute
delete
等
5,传播方式
p2p文件共享软件KAZAA,socket网络传播
6,主要危害
通过IRC服务器(聊天室)进行黑客攻击,盗取文件,密码,用户信息等。