病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
57856
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个使用ASPack2.000加壳的网络蠕虫,会通过lsass.exe系统进程漏洞进行攻击,使计算机重启。
1、创建文件
1)病毒会在C盘根目录下创建C:\boot.sys文件,并将文件时间设置成与其它系统文件相同。
2)在%system%目录下生成两个随机文件名的dll文件和xslfdlnt.bat,xslfdlnt.bat随后会被删除。
3)在%system%\drivers\目录下生成文件ndisrd.sys。
4)在%system%目录下生成CIJDEEFE.exe和一个随机文件名的exe文件,其中随机文件名的exe文件是病毒的复制体。
2、修改注册表
创建如下几个键:
HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\(Default)"%system%\(已经创建的一个随机文件名).dll"
HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\ThreadingModel"Apartment"
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\CIJDEEFESUCCESS"{60B036D5-5089-5674-154F-49DB70122C49}"
HKCU\Software\Microsoft\Windows\KKQHOOK0x1E
删除以下键:
HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyServer
HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyOverride
HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\AutoConfigURL
3、删除以下服务:
"NortonAntivirusService","PandaAntivirus","ZoneAlarm","DetectordeOfficeScanNT","McAfeeFrameworkService",
"sharedaccess","OutpostFirewall","lnsfw1","sfilter","SmcService","UmxPol","UmxLU","UmxAgent","UmxCfg","kmxagent",
"kmxbig","kmxcfg","kmxfile","kmxids","kmxndis","kmxsbx","vsmon","vsdatant","klif","klpf","klpid"
4、注册服务:
通过在HKLM\\sysytem\\currentcontrolset\\services中添加ndised项来注册服务。
5、为%system%目录下的CIJDEEFE.exe和另一生成的exe文件创建隐藏进程,并挂接API使这两个文件使用一般的资源治理器无法看到。
6、利用lsass.exe系统进程进行攻击,使机器重启。
7、打开端口号从1180到1395,及从1411到1499的端口,在这些端口监听。
8、扫描局域网,并试图建立ipc$连接,通过ipc$连接传播。