Win32.Tufik.a

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

23552

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Win32平台的后门程序，病毒通过与特定网站连接。开启后门，答应远程攻击者非授权进入被感染计算机。盗取被感染计算机用户的密码,将盗取的信息发送给黑客。对用户隐私造成严重威胁。

1、复制病毒:

%System%\loadms.exe

%System%\cmpku.exe

%System%\netcompt.exe

%System%\ptsnopt.exe

%System%\ntdllf.exe

%windir%\mapserver.exe

%Root%\Iexplores.exe(从D-Z盘)

A:\demon.exe

%Root%\AutoRun.inf(从D-Z盘)

A:\Desktop.ini

A:\folder.htt(大小:3833byte)

2.添加自启动项:

win.ini

win.ini

run=%windir%\System\病毒文件名.exe(forwin9x)

%Root%\DocumentsandSettings\AllUsers\菜单\程序\启动\IEInit.exe(Winnt内核系统上)

%Root%\Windows\menu\程序\启动\IEInit.exe(win9x)

3.注册表添加自启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmpnt"="C:\\WINNT\\system\\cmpku.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Shell"="c:\\winnt\\system\\mainsv.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Ntcheck"="C:\\WINNT\\mapserver.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]

"Cmpnt"="c:\\winnt\\system\\mainsv.exe"

4.降低IE安全属性:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\(0-3)

1001=0(DWORD)

1004=0(DWORD)

1200=0(DWORD)

1201=0(DWORD)

5.病毒保存设置注册表项:

[HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\Doom\Shadow]

"Conteo"=value

6.访问特定网站:

http://www26.brinkster.com/

• ·Worm.Anap.b
• ·Win32.Troj.ADDownload.f
• ·Win32.Hack.Haxdoor.d
• ·Worm.adXDD.a
• ·Win32.Ipamor
• ·Win32.Porex
• ·Worm.Brontok.c
• ·Win32.Hack.BBSAttacker.
• ·Worm.Tanatos.b
• ·Win32.Hack.Miniftp