病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
100056
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过漏洞和网络共享传播的后门病毒,该病毒利用MS05-039等漏洞在网络上传播,感染该病毒的机器会反向链接到mIRC服务器上,接受其他人的控制.该病毒还会修改大量的注册表的设置,对用户的机器带来巨大的风险.而且该病毒会通过各种手段反调试,对抗分析.
1.生成文件:
%system%\Sc32Inch.exe
2.添加注册表,把病毒添加到登陆中去:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
shell
Sc32Inch.exe
3.添加注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions
Scmelt
%system%\Sc32Inch.exe
4.添加服务:
服务名称:Sc32Inch
服务说明:Socks-CapDirectoryServiceIISApplications
服务程序:%system%\Sc32Inch.exe
5.修改以下注册表键值:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
SOFTWARE\Microsoft\SecurityCenter
UpdatesDisableNotify
SOFTWARE\Microsoft\SecurityCenter
AntiVirusDisableNotify
SOFTWARE\Microsoft\SecurityCenter
FirewallDisableNotify
SOFTWARE\Microsoft\SecurityCenter
AntiVirusOverride
SOFTWARE\Microsoft\SecurityCenter
FirewallOverride
SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate
AUOptions
SYSTEM\CurrentControlSet\Services\wscsvc
Start
SYSTEM\CurrentControlSet\Services\TlntSvr
Start
SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
6.尝试下载以下文件:
nfs-cd.zip
oscttssh.exe
RealTime1.sea.bin
aim.exe
lusetup.exe
NVIDIA_EuroNews_English.wmv