WIN32.Vking.cc.291840

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

黑客学徒291840

病毒别名:

维金变种291840

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

291840

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这个病毒是黑客木马程序。它通过感染exe格式文件来进行传播,假如发作,就会关闭许多常见安全软件的进程,然后连接病毒作者指定的远程地址。

1.病毒运行时将自身拷贝至%SYSTEM32%\Drivers\suchost.exe,修改注册表

HKCU\Software\Microsoft\Windows\CurrentVersion\Run作为其启动项。并修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue以隐藏文件

2.病毒启动感染线程,感染时,病毒将正常文件附加在文件末尾,执行时恢复原始文件并执行。同时,病毒在每个文件夹内创建文件Desktop_.ini,内容为当天日期。

3.病毒尝试删除以下注册表键:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP

4.病毒尝试删除以下服务:

kavsvc

McShield

McTaskManager

McAfeeFramework

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

SymantecCoreLC

NPFMntor

MskService

FireSvc

5.病毒尝试关闭如下标题的窗口:

VirusScan

NOD32

SymantecAntiVirus

SystemSafetyMonitor

SystemRepairEngineer

msctls_statusbar32

pjf(ustc)

IceSword

6.病毒尝试终止如下进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

7.病毒尝试下载http://www.d***g**.com/__/___列表文件并执行。(更新自身)

8.病毒调用WinExec删除共享(cmd.exe/cnetshareadmin$/del/y)

9.病毒修改注册表HKCR\HTTP\shell\open\command为"C:\ProgramFiles\InternetExplorer\iexplore.exe"-nohome,并在后台启动并访问www.d****_8.com/d_**/tj/m__.asp?m___。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航