病毒名称(中文):
死亡之吻
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
94720
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是"死亡之吻"的一个新变种,与以前版本区别是此版本的变种只感染exe文件.
1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe
并往系统目录里面释放一个病毒体
%system%\\Supervise.exe(Worm.Death.ad.103936)
2.修改注册表
使"显示隐藏文件"不可选
HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
"CheckedValue"="0x00"
尝试删除注册表键值
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings
ProxyServer
ProxyOverrade
AutoConfigURL
添加自启动项
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
"Supervise.exe"="%system%\\Supervise.exe"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
"Death.exe"="%system%\Death.exe"(没有此文件)
3.中止进程
病毒中止以下进程名的进程
EGHOST.EXE
MAILMON.exe
kavpfw.exe
iparmor.exe
_AVP32.EXE
_AVPCC.exe
_avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
RKVXP.kxp
KvmonXP.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe
runiep.exe
4.枚举窗口
病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息
SymantecAntiVirus企业版
江民杀毒软件KV2006:实时监视
LockDownMain
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
VirusScan
SymantecAntivirus
DubaWrappedgiftKiller
IceSword
pjf(ustc)
噬菌体
木马克星
5.感染文件
病毒会感染扩展名为EXE的文件,
感染方式是叠加感染
6.局域网传播
病毒生成密码字典C:\pass.dic
并使用该字典上面的密码尝试登录局域网内机器
若登录成功,则感染该机
7.感染移动硬盘
病毒会在移动存储器的分区里面生成autorun.ini
写入以下内容
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上.
建议用户设定登录帐号的密码不能过于简单