病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
139264
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个蠕虫病毒。该病毒关闭AVP杀毒软件.联网下载一堆木马到C盘,还可以感染网页文件,还可以破解区域内的其他计算机密码,从而感染其他机器。
1.病毒运行后,生成以下病毒文件
%System32%\Com\comrepl32.exe
%System32%\drivers\pcibus.sys
这两个文件都是病毒文件。
2.该病毒运行成功后会自行删除源文件。
3.在注册表中添加了注册项,如下:
HKLM\software\Microsoft\windows\CurrentVersion\policies\Explorer\Run
4.病毒会建立"tls"标记来确定机器是否染毒,判定是否是svchost.exe加载的病毒。
5.病毒会遍历当前进程,假如找到AVP.EXE进程,它会关掉该进程。
6.病毒插入系统进程%system%\svchost.exe联网下载木马病毒保存到C盘根目录下.
(http://60.190.[REMOVED]/elf_listo.txt)(目前已无法下载)
c:\\conime.exe
c:\\conime0.exe
c:\\conime1.exe
c:\\conime2.exe
c:\\conime3.exe
c:\\conime4.exe
c:\\conime5.exe
c:\\conime6.exe
c:\\conime7.exe
c:\\conime8.exe
c:\\conime9.exe
7.病毒搜索修改除系统盘以外的.htm/.html/.asp/.jsp/.php网页文件,在尾部添加:
CODE:
8.病毒字串有一堆简易的密码,应该是用作破解区域内的其他计算机密码,但在测试的时候并未发现此动作.
CODE:
mypass123
mypass
admin123
mypc123
mypc
love
pw123
Login
login
owner
home
zxcv
yxcv
qwer
asdf
temp123
temp
test123
test
fuck
fuckyou
root
ator
administrator
patrick
123abc
1234qwer
123123
121212
111111
alpha
2600
2003
2002
enable
godblessyou
ihavenopass
123asd
super
computer
server
123qwe
sybase
abc123
abcd
database
passwd
pass
88888888
11111111
000000
54321
654321
123456789
1234567
qq520
5201314
admin
12345
12345678
mein
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234