病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
59946
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个通过电子邮件传播的蠕虫病毒,病毒发作时,首先关闭一些防毒程序和一些其他病毒;并禁用任务治理器、注册表编辑器等系统软件;然后复制自己,并加载启动项已达到开机启动的目的;该病毒会不断复制自身为update3.exe,并查找用户机子上的一些文本文件获得邮件地址并传播;盗取用户的宝贵信息;该病毒还访问指定网址进行下载病毒。该病毒发作时的特征:弹出对话框Error:Errorwhilerunningthisfile;机子速度明显变慢;可能会鼠标键盘失去焦点,变得不可使用;任务治理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。
1,生成文件
%system%\windows32.exe
%system%\update3.exe
2,添加启动项
HKLM\Software\Microsoft\windows\CurrentVersion\Run
services="%system%\windows32.exe"
3,关闭相关进程
AckWin32.EXE
AGENTSVR.EXE
agentw.EXE
CFINET.EXE
f-stopw.EXE
navapsvc.EXE
Navw32.EXE
NEOMONITOR.EXE
PURGE.EXE
PVIEW95.EXE
等等
4,禁止软件运行(修改注册表)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
DisableRegistryTools
HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate
HKLM\Software\Microsoft\securitycenter
HKCU\Software\Microsoft\securitycenter
FirewallDisableNotify
UpdatesDisableNotify
AntiVirusDisableNotify
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\systemrestore
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\systemrestore
DisableSR
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName
HKCU\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName
Comutername="Snart"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
NMain.exe
taskmgr.exe
ZLCLIENT.EXE
regedit.exe
ccapp.exe
5,查看下列后缀的文件并盗取信息
htt
htm
html
hta
hte
htx
shtml
stm
asp
xml
doc
rtf
txt
dbx
php
php3
phtml
jsp
sql
eml
ini
tbb
tbi
6,修改host
127.0.0.1www.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1symantec.com
127.0.0.1www.sophos.com
127.0.0.1sophos.com
127.0.0.1www.mcafee.com
127.0.0.1mcafee.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1www.viruslist.com
127.0.0.1viruslist.com
127.0.0.1f-secure.com
127.0.0.1www.f-secure.com
127.0.0.1kaspersky.com
127.0.0.1www.avp.com
127.0.0.1www.kaspersky.com
127.0.0.1avp.com
127.0.0.1www.networkassociates.com
127.0.0.1networkassociates.com
127.0.0.1www.ca.com
127.0.0.1ca.com
127.0.0.1mast.mcafee.com
127.0.0.1my-etrust.com
127.0.0.1www.my-etrust.com
127.0.0.1www.trendmicro.com
127.0.0.1trendmicro.com
127.0.0.1download.mcafee.com
127.0.0.1dispatch.mcafee.com
127.0.0.1secure.nai.com
127.0.0.1updates.symantec.com
127.0.0.1update.symantec.com