病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
75776
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个黑客后门程序,病毒运行后会关闭Windows的一些安全服务,连接远程IRC服务器,使用户受控于黑客。
1、病毒运行后复制自身到%system%\lviss.exe,并运行,退出原病毒进程并删除文件。
2、修改注册表,添加名为WindowsPEDebugger的服务,并设置其为开机自动启动。
3、创建如下注册表项及其子键,并将其驱动程序指向病毒刚刚创建的服务:
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER
4、修改如下注册表项,关闭及禁用Windows防火墙,关闭自动更新禁止安装sp2补丁,并禁用以下系统服务SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚举用户、关闭系统默认共享:
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]
"AUOptions"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=0x0
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareServer"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=0x1
5、从网络上下载病毒文件到如下目录:
C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe
C:\WINDOWS\TEMP\eraseme_25413.exe
6、连接远程IRC服务器的6667端口,等待黑客命令。