病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
930304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个集蠕虫、木马、黑客后门于一体的高级病毒。该病毒运行后,会拷贝自身到windows目录,并添加启动项,达到随开机启动的目的;该病毒会结束大量杀毒软件及防火墙,并删除这些防毒软件的启动项,甚至会删除一些软件如天网防火墙的文件;该病毒会在用户机器上打开socket后门,并创建新用户,用户名为123,用户组为netlocalgroupadministrators,以供黑客攻击;该病毒会通过消息钩子、键盘记录等技术来盗取多种网络游戏的帐号密码,如传奇、封神榜、三国群英等,该病毒通过设置ie浏览器钩子,盗取其它信息,给网上银行用户带来不安全因素;该病毒会主动搜集用户文件中包含的邮件地址,并发送含毒文件到这些地址中,附件名为“我的照片.jpg.exe”,用户双击运行后,会弹出一个照片,但病毒已经被激活了。
1,生成文件
%windows%\temp\ssshost.exe
%windows%\svchost.exe
2,添加启动项
HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run
"Microsoft"="%windows%\svchost.exe"
HKLM\SOFTWARE\Classes\exefile\shell\open\command
"default"="%windows%\svchost.exe%1"
3,该病毒通过列邮件传播
标题:
表哥,你最近还好吗?
邮件内容:
表哥,你这几年在上海过得好吗?
知道我是谁吗?
看了我的相片你就知道了
附件文件名:
我的照片.jpg.exe
邮件发送地址:
iloveyouyoulovemetoo@21cn.com
4,该病毒会结束含有下列字符串的进程
HOOKTDI1
HOOKSys
HookReg
HookCont
HOOKAPI
ExpScaner
RfwService
RsCCenter
RsRavMon
KVDP
KVSrvXP
KWatchSvc
KWatch3
KPfwSvc
KNetWch
pfw.exe
kvfw.exe
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
KVMonXP.kxp
KVCenter.kxp
KvXP.kxp
KAVPFW.EXE
KWatch.EXE
KPfwSvc.EXE
KAVStart.exe
KMailMon.EXE
KAV32.EXE
rav
瑞星
病毒
杀毒
木马
金山毒霸
5,删除启动项
HKLM\SoftWare\Microsoft\windows\CurrentVersion\Run
SKYNETPersonalFireWall
iDubaPersonalFireWall
KavStart
KvMonXP
iamapp
rfw
popproxy
RavMon
RavTimer
HKLM\SoftWare\Microsoft\windows\CurrentVersion\RunServices
RavMon
HKCU\SoftWare\Microsoft\windows\CurrentVersion\Run
KVFW
KvXP
KavPFW
6,从以下后缀的文件中收集邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
.rtf
.doc
.html
.ini
7,通过查找下列标题的窗口盗取帐号密码
热血江湖
烈火奇迹
梦幻西游
传奇
天堂Ⅱ
大话西游
剑网Ⅱ
封神榜
航海世纪
剑侠情缘
英雄
万王之王
三国群英
天堂
科隆
传说
洛奇
神迹
永恒
猛将
轩辕
天骄
龙魂童话
真封神
魔兽
传奇世界
泡泡堂
刀剑
奇迹
英雄年代
神迹
红月
丝路传说
仙界传
星钻
