Worm.Death.ad

2008-08-14 22:52:32  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　死亡之吻

　　病毒別名:

　　

　　

　　威脅級別:

　　★★☆☆☆

　　病毒類型:

　　蠕蟲病毒

　　病毒長度:

　　94720

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這是"死亡之吻"的一個新變種,與以前版本區別是此版本的變種只感染exe文件.

　　1.在病毒所在目錄下釋放感染前原文件%病毒名%1L1~.exe

　　並往系統目錄裏面釋放一個病毒體

　　%system%\\Supervise.exe(Worm.Death.ad.103936)

　　2.修改注冊表

　　使"顯示隱藏文件"不可選

　　HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

　　"CheckedValue"="0x00"

　　嘗試刪除注冊表鍵值

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　internat.exe

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings

　　ProxyServer

　　ProxyOverrade

　　AutoConfigURL

　　添加自啓動項

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　"Supervise.exe"="%system%\\Supervise.exe"

　　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

　　"Death.exe"="%system%\Death.exe"(沒有此文件)

　　3.中止進程

　　病毒中止以下進程名的進程

　　EGHOST.EXE

　　MAILMON.exe

　　kavpfw.exe

　　iparmor.exe

　　_AVP32.EXE

　　_AVPCC.exe

　　_avpm.exe

　　avp.exe

　　navapw32.exe

　　navw32.exe

　　nod32kui.exe

　　nod32kru.exe

　　PFW.exe

　　Kfw.exe

　　KAVPFW.exe

　　vsmon.exe

　　Mcshield.exe

　　VstskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　RKVXP.kxp

　　KvmonXP.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundll32.exe

　　runiep.exe

　　4.枚舉窗口

　　病毒枚舉桌面上的窗口,向窗口名爲以下字符的窗口發送退出的消息

　　SymantecAntiVirus企業版

　　江民殺毒軟件KV2006：實時監視

　　LockDownMain

　　ZoneAlarm

　　天網防火牆個人版

　　天網防火牆企業版

　　VirusScan

　　SymantecAntivirus

　　DubaWrappedgiftKiller

　　IceSword

　　pjf(ustc)

　　噬菌體

　　木馬克星

　　5.感染文件

　　病毒會感染擴展名爲EXE的文件,

　　感染方式是疊加感染

　　6.局域網傳播

　　病毒生成密碼字典C:\pass.dic

　　並使用該字典上面的密碼嘗試登錄局域網內機器

　　若登錄成功,則感染該機

　　7.感染移動硬盤

　　病毒會在移動存儲器的分區裏面生成autorun.ini

　　寫入以下內容

　　[Autorun]

　　OPEN=Death.exe

　　shellexecute=Death.exe

　　shell\Auto\command=Death.exe

　　並拷貝一個病毒體到分區裏面,一但用戶不注重時,病毒就通過U盤傳染到另一台機器上.

　　建議用戶設定登錄帳號的密碼不能過于簡單

 

病毒名稱(中文): 死亡之吻 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 94720 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是"死亡之吻"的一個新變種,與以前版本區別是此版本的變種只感染exe文件. 1.在病毒所在目錄下釋放感染前原文件%病毒名%1L1~.exe 並往系統目錄裏面釋放一個病毒體 %system%\\Supervise.exe(Worm.Death.ad.103936) 2.修改注冊表 使"顯示隱藏文件"不可選 HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL "CheckedValue"="0x00" 嘗試刪除注冊表鍵值 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run internat.exe HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings ProxyServer ProxyOverrade AutoConfigURL 添加自啓動項 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Supervise.exe"="%system%\\Supervise.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Death.exe"="%system%\Death.exe"(沒有此文件) 3.中止進程 病毒中止以下進程名的進程 EGHOST.EXE MAILMON.exe kavpfw.exe iparmor.exe _AVP32.EXE _AVPCC.exe _avpm.exe avp.exe navapw32.exe navw32.exe nod32kui.exe nod32kru.exe PFW.exe Kfw.exe KAVPFW.exe vsmon.exe Mcshield.exe VstskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe RKVXP.kxp KvmonXP.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundll32.exe runiep.exe 4.枚舉窗口 病毒枚舉桌面上的窗口,向窗口名爲以下字符的窗口發送退出的消息 SymantecAntiVirus企業版 江民殺毒軟件KV2006：實時監視 LockDownMain ZoneAlarm 天網防火牆個人版 天網防火牆企業版 VirusScan SymantecAntivirus DubaWrappedgiftKiller IceSword pjf(ustc) 噬菌體 木馬克星 5.感染文件 病毒會感染擴展名爲EXE的文件, 感染方式是疊加感染 6.局域網傳播 病毒生成密碼字典C:\pass.dic 並使用該字典上面的密碼嘗試登錄局域網內機器 若登錄成功,則感染該機 7.感染移動硬盤 病毒會在移動存儲器的分區裏面生成autorun.ini 寫入以下內容 [Autorun] OPEN=Death.exe shellexecute=Death.exe shell\Auto\command=Death.exe 並拷貝一個病毒體到分區裏面,一但用戶不注重時,病毒就通過U盤傳染到另一台機器上. 建議用戶設定登錄帳號的密碼不能過于簡單