病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
540672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个能窃取用户信息的木马病毒。该病毒能关闭一些安全软件进程,并试图删除一些安全软件的文件,导致其无法运行。还释放病毒文件到指定目录,并修改注册表项目,达到自启动的目的。同时病毒会释放一个dll,并对explorer进行注入,使每次explorer运行的时候病毒便自动运行。该病毒还能关闭windows自带的防火墙,进一步削弱计算机的安全性。病毒还能自动搜集用户机器上的信息发送到特定网站,给用户信息安全带来危害。
1,生成下列病毒文件:
%windows%\system32\mdms.exe
%windows%\mswsck2.dll
2,增加注册表项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
OnceEx=mdms.exe
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Notify=Explorer.exe"
3,删除下列文件:
C:\ProgramFiles\McAfee.com\PersonalFirewall\MpfUi.Dll
C:\ProgramFiles\KasperskyLab\KasperskyAnti-Hacker\perfiloc.dll
C:\ProgramFiles\TinyFirewallPro\SnortImp.dll
C:\ProgramFiles\McAfee.com\PersonalFirewall\Localized.DLL
C:\ProgramFiles\Agnitum\OutpostFirewall\Engine.dll
C:\ProgramFiles\NortonInternetSecurityProfessional\FRERules.dll
C:\ProgramFiles\Kerio\PersonalFirewall4\kfe.dll
C:\ProgramFiles\ZoneLabs\ZoneAlarm\vsruledb.dll
4,终止下列进程:
zonealarm.exe
gcasDtServ.exe
kpf4gui.exe
NPROTECT.EXE
MpfService.exe
ZAPRO.EXE
firewall.exe
