病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
40960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个硬盘杀手。该病毒会向硬盘分区起始扇区写入垃圾数据破坏硬盘,给破坏的硬盘数据很难恢复。建议中毒用户若有重要数据要恢复应求助于专业数据恢复机构,不要试图自行恢复,以免造成不可挽回的损失。
1、生成的文件
%documentsandsettings%\%user%\lsass.exe
%documentsandsettings%\AllUsers\lsass.exe
%system_volume%\system_volume\lsass.exe
%system_volume%\system_volume\desktop.ini
2、非系统盘里添加autorun.inf启动
-------------------------------------
[autorun]
open=.\system_volume\system_volume\lsass.exe
shell\1=Sb_&
shell\1\command=.\system_volume\system_volume\lsass.exe
shell\2=
shell\2\command=.\system_volume\system_volume\lsass.exe
shellexecute=.\system_volume\system_volume\lsass.exe
-------------------------------------
3、病毒不停的设置隐藏属性,是系统总是不显示隐藏文件
HKCU\software\microsoft\windows\currentversion\explorer\advanced
"hidden"="0x2"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"="0x0"
4、该病毒在系统中安装一类型为:WH_MSGFILTER消息钩子。
5、该病毒会运行tskill.exe和ntsd.exe命令结束下列名称进程
kvmonxp.kxp
shstat.exe
ravmon.exe
avp.exe