病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
51840
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个win32下的感染型病毒,感染.exe.htm.html.asp.aspx.php.jsp的后缀名的文件,并会下载多种木马病毒。给用户带来较大危害。该病毒通过局域网传播。
1、复制自身到如下路径:
%system%\explorer.exe
d:\ntdetect_.com
2、删除如下注册表键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
3、结束如下安全软件进程:
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
RavmonD.exe
PFW.exe
4、从如下网址下载病毒列表文件到c:\net.log:
h**p://new.ha**pp.com/down.txt
从如下网址下载病毒到本地并执行:
h**p://new.ha**pp.com/ma/2.exe
h**p://new.ha**pp.com/ma/3.exe
h**p://new.ha**pp.com/ma/4.exe
h**p://new.ha**pp.com/ma/5.exe
h**p://new.ha**pp.com/ma/6.exe
h**p://new.ha**pp.com/ma/7.exe
h**p://new.ha**pp.com/ma/8.exe
h**p://new.ha**pp.com/ma/9.exe
5、创建互斥体hhh_mixieer,当系统中存在该斥体时,病毒退出,否则开始感染。
6、遍历本地d、e、f磁盘,感染所有后缀名为.exe.htm.html.asp.aspx.php.jsp的文件。
7、遍历局域网资源,感染可写共享。