來源:互聯網網民 2008-08-14 22:44:45
評論病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
黑客程序
病毒長度:
75776
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個黑客後門程序,病毒運行後會關閉Windows的一些安全服務,連接遠程IRC服務器,使用戶受控于黑客。
1、病毒運行後複制自身到%system%\lviss.exe,並運行,退出原病毒進程並刪除文件。
2、修改注冊表,添加名爲WindowsPEDebugger的服務,並設置其爲開機自動啓動。
3、創建如下注冊表項及其子鍵,並將其驅動程序指向病毒剛剛創建的服務:
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER
4、修改如下注冊表項,關閉及禁用Windows防火牆,關閉自動更新禁止安裝sp2補丁,並禁用以下系統服務SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚舉用戶、關閉系統默認共享:
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]
"AUOptions"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=0x0
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareServer"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=0x1
5、從網絡上下載病毒文件到如下目錄:
C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe
C:\WINDOWS\TEMP\eraseme_25413.exe
6、連接遠程IRC服務器的6667端口,等待黑客命令。
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
黑客程序
病毒長度:
75776
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個黑客後門程序,病毒運行後會關閉Windows的一些安全服務,連接遠程IRC服務器,使用戶受控于黑客。
1、病毒運行後複制自身到%system%\lviss.exe,並運行,退出原病毒進程並刪除文件。
2、修改注冊表,添加名爲WindowsPEDebugger的服務,並設置其爲開機自動啓動。
3、創建如下注冊表項及其子鍵,並將其驅動程序指向病毒剛剛創建的服務:
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER
4、修改如下注冊表項,關閉及禁用Windows防火牆,關閉自動更新禁止安裝sp2補丁,並禁用以下系統服務SecurityCenter、Telnet、RemoteRegistry、Messenger,禁止匿名枚舉用戶、關閉系統默認共享:
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\AutoUpdate]
"AUOptions"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=0x0
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareServer"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=0x1
5、從網絡上下載病毒文件到如下目錄:
C:\DocumentsandSettings\LocalService\LocalSettings\TemporaryInternetFiles\Content.IE5\4LWVMRUT\a17[1].exe
C:\WINDOWS\TEMP\eraseme_25413.exe
6、連接遠程IRC服務器的6667端口,等待黑客命令。