Worm.Death.aa

病毒名称(中文):

死亡之吻

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

58520

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个感染型病毒。该病毒会感染可执行文件和脚本，并且会通过u盘传播。

该病毒会下载并执行其他病毒。建议升级病毒库查杀该病毒，以免中毒受害。

1、在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe。

2、修改注册表，隐藏所有隐藏文件。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

"CheckedValue"="0x00"

3、下载并执行其他十个病毒。

http://a.2007ip.***/cald/01.exe

http://a.2007ip.***/cald/02.exe

http://a.2007ip.***/cald/03.exe

http://a.2007ip.***/cald/04.exe

http://a.2007ip.***/cald/06.exe

http://a.2007ip.***/cald/07.exe

http://a.2007ip.***/cald/08.exe

http://a.2007ip.***/cald/09.exe

http://a.2007ip.***/cald/10.exe

4、生成%SystemRoot%\system32\Death.SiShen文件，会在移动盘里建autorun.inf启动。

---------------------------------------

[Autorun]

OPEN=Death.exe

shellexecute=Death.exe

shell\Auto\command=Death.exe

--------------------------------------

5、该病毒会感染脚本，会在脚本末添加

"iframesrc=http://if.iloveck.***/test/test.htmwidth=0height=0""/iframe"

6、删除\drivers\etc\hosts并下载http://if.iloveck.***/test/hos.rar文件替换hosts

127.0.0.1localhost

127.0.0.1mmm.caifu18.***

127.0.0.1www.18dmm.***

127.0.0.1d.qbbd.***

127.0.0.1www.5117music.***

127.0.0.1www.union123.***

127.0.0.1www.wu7x.**

127.0.0.1www.54699.***

127.0.0.160.169.*.66

127.0.0.160.169.*.29

127.0.0.1www.97725.***

127.0.0.1down.97725.***

127.0.0.1ip.315hack.***

127.0.0.1ip.54liumang.***

127.0.0.1www.41ip.***

7、打开http://if.iloveck.***/test/tongji.htm网页执行http://s103.cnzz.com/stat.php?id=394872&web_id=394872一个为站长统计的JavaScript脚本。

8、执行netstopserver/y命令行停止ComputerBrowser服务，并重新启动后server服务会重新开启。

9、生产密码字典C:\pass.dic猜解网络弱口令用户和共享。

10、若运行的为原病毒体则会删除%SystemRoot%\system32\spoolsv.exe,并将自身拷贝两份到系统目录下，命名为spoolsv.exe、death.exe。

11、该病毒会结束下列名称或类名程序

KVXP.KXP

KVMonXP.KXP

SymantecAntiVirus企业版

江民杀毒软件KV2006：实时监视

RavMon.exe

RavMonClass

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天网防火墙个人版

Tapplication

天网防火墙企业版

VirusScan

SymantecAntiVirus

Duba

WrappedgiftKiller

IceSword

pjf(ustc)

防火墙

TForm1

木马克星

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

AVP.EXE

NAVAPW32.EXE

NAVW32.EXE

nod32kui.exe

nod32kru.exe

PFW.exe

Kfw.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

360Safe.exe

360tray.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

FYFireWall.exe

• ·Worm.FileCopy.u
• ·Win32.Troj.ZSKill.lf
• ·Win32.Troj.Mnless.bl
• ·Win32.PanVar.aa
• ·Win32.Troj.DelFiles.b
• ·Win32.Tone.a
• ·Win32.Troj.Small.ds
• ·Win32.Hack.Huigezi
• ·Worm.Death.ab
• ·Win32.Troj.PswGame.m