病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
917504
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个集蠕虫、木马、黑客后门于一体的病毒。该病毒运行后,会拷贝自身到windows目录,并添加启动项,达到随开机启动的目的;该病毒会结束大量杀毒软件及防火墙,并删除这些防毒软件的启动项,甚至会删除一些软件如天网防火墙的文件;该病毒会在用户机器上打开socket后门,并创建新用户,用户名为123,用户组为netlocalgroupadministrators,以供黑客攻击;该病毒会通过消息钩子、键盘记录等技术来盗取用户信息。该病毒会主动搜集用户文件中包含的邮件地址,并发送含毒文件到这些地址中,附件名为“我的照片.jpg.exe”,用户双击运行后,会弹出刘德华的照片,但病毒已经被激活了;该病毒还可以通过共享传播。建议用户经常检查主机的用户组中是否有生疏用户帐号。
1,生成文件
%windows%\temp\ssshost.exe
%windows%\svchost.exe
C:\DocumentsandSettings\Administrator\桌面\共享
我的照片.exe
我的照片.JPG.exe
我的照片.BMP.exe
2,添加启动项
HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run
"Microsoft"="%windows%\svchost.exe"
HKLM\SOFTWARE\Classes\exefile\shell\open\command
"default"="%windows%\temp\ssshost.exe%1"
3,该病毒通过列邮件传播
标题:
表哥,你最近还好吗?
邮件内容:
表哥,你这几年在上海过得好吗?
知道我是谁吗?
看了我的相片你就知道了
附件文件名:
我的照片.jpg.exe
邮件发送地址:
abc635241@21cn.com
4,添加用户
用户名:123
用户组:netlocalgroupadministrators
5,该病毒会结束含有下列字符串的进程
HOOKTDI1
HOOKSys
HookReg
HookCont
HOOKAPI
ExpScaner
RfwService
RsCCenter
RsRavMon
KVDP
KVSrvXP
KWatchSvc
KWatch3
KPfwSvc
KNetWch
pfw.exe
kvfw.exe
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
KVMonXP.kxp
KVCenter.kxp
KvXP.kxp
KAVPFW.EXE
KWatch.EXE
KPfwSvc.EXE
KAVStart.exe
KMailMon.EXE
KAV32.EXE
rav
瑞星
病毒
杀毒
木马
金山毒霸
6,删除启动项
HKLM\SoftWare\Microsoft\windows\CurrentVersion\Run
SKYNETPersonalFireWall
iDubaPersonalFireWall
KavStart
KvMonXP
iamapp
rfw
popproxy
RavMon
RavTimer
HKLM\SoftWare\Microsoft\windows\CurrentVersion\RunServices
RavMon
HKCU\SoftWare\Microsoft\windows\CurrentVersion\Run
KVFW
KvXP
KavPFW
7,从以下后缀的文件中收集邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
.rtf
.doc
.html
.ini
8,使用键盘记录,并将内容发送到指定地址
