Worm.Death.ad

2008-08-14 22:52:32  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　死亡之吻

　　病毒别名:

　　

　　

　　威胁级别:

　　★★☆☆☆

　　病毒类型:

　　蠕虫病毒

　　病毒长度:

　　94720

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这是"死亡之吻"的一个新变种,与以前版本区别是此版本的变种只感染exe文件.

　　1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe

　　并往系统目录里面释放一个病毒体

　　%system%\\Supervise.exe(Worm.Death.ad.103936)

　　2.修改注册表

　　使"显示隐藏文件"不可选

　　HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

　　"CheckedValue"="0x00"

　　尝试删除注册表键值

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　internat.exe

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings

　　ProxyServer

　　ProxyOverrade

　　AutoConfigURL

　　添加自启动项

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　"Supervise.exe"="%system%\\Supervise.exe"

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　"Death.exe"="%system%\Death.exe"(没有此文件)

　　3.中止进程

　　病毒中止以下进程名的进程

　　EGHOST.EXE

　　MAILMON.exe

　　kavpfw.exe

　　iparmor.exe

　　_AVP32.EXE

　　_AVPCC.exe

　　_avpm.exe

　　avp.exe

　　navapw32.exe

　　navw32.exe

　　nod32kui.exe

　　nod32kru.exe

　　PFW.exe

　　Kfw.exe

　　KAVPFW.exe

　　vsmon.exe

　　Mcshield.exe

　　VstskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　RKVXP.kxp

　　KvmonXP.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundll32.exe

　　runiep.exe

　　4.枚举窗口

　　病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息

　　SymantecAntiVirus企业版

　　江民杀毒软件KV2006：实时监视

　　LockDownMain

　　ZoneAlarm

　　天网防火墙个人版

　　天网防火墙企业版

　　VirusScan

　　SymantecAntivirus

　　DubaWrappedgiftKiller

　　IceSword

　　pjf(ustc)

　　噬菌体

　　木马克星

　　5.感染文件

　　病毒会感染扩展名为EXE的文件,

　　感染方式是叠加感染

　　6.局域网传播

　　病毒生成密码字典C:\pass.dic

　　并使用该字典上面的密码尝试登录局域网内机器

　　若登录成功,则感染该机

　　7.感染移动硬盘

　　病毒会在移动存储器的分区里面生成autorun.ini

　　写入以下内容

　　[Autorun]

　　OPEN=Death.exe

　　shellexecute=Death.exe

　　shell\Auto\command=Death.exe

　　并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上.

　　建议用户设定登录帐号的密码不能过于简单

 

 

 

病毒名称(中文): 死亡之吻 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 94720 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是"死亡之吻"的一个新变种,与以前版本区别是此版本的变种只感染exe文件. 1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe 并往系统目录里面释放一个病毒体 %system%\\Supervise.exe(Worm.Death.ad.103936) 2.修改注册表 使"显示隐藏文件"不可选 HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL "CheckedValue"="0x00" 尝试删除注册表键值 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run internat.exe HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings ProxyServer ProxyOverrade AutoConfigURL 添加自启动项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Supervise.exe"="%system%\\Supervise.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Death.exe"="%system%\Death.exe"(没有此文件) 3.中止进程 病毒中止以下进程名的进程 EGHOST.EXE MAILMON.exe kavpfw.exe iparmor.exe _AVP32.EXE _AVPCC.exe _avpm.exe avp.exe navapw32.exe navw32.exe nod32kui.exe nod32kru.exe PFW.exe Kfw.exe KAVPFW.exe vsmon.exe Mcshield.exe VstskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe RKVXP.kxp KvmonXP.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundll32.exe runiep.exe 4.枚举窗口 病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息 SymantecAntiVirus企业版 江民杀毒软件KV2006：实时监视 LockDownMain ZoneAlarm 天网防火墙个人版 天网防火墙企业版 VirusScan SymantecAntivirus DubaWrappedgiftKiller IceSword pjf(ustc) 噬菌体 木马克星 5.感染文件 病毒会感染扩展名为EXE的文件, 感染方式是叠加感染 6.局域网传播 病毒生成密码字典C:\pass.dic 并使用该字典上面的密码尝试登录局域网内机器 若登录成功,则感染该机 7.感染移动硬盘 病毒会在移动存储器的分区里面生成autorun.ini 写入以下内容 [Autorun] OPEN=Death.exe shellexecute=Death.exe shell\Auto\command=Death.exe 并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上. 建议用户设定登录帐号的密码不能过于简单