病毒名称(中文):
黑客学徒291840
病毒别名:
维金变种291840
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
291840
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个病毒是黑客木马程序。它通过感染exe格式文件来进行传播,假如发作,就会关闭许多常见安全软件的进程,然后连接病毒作者指定的远程地址。
1.病毒运行时将自身拷贝至%SYSTEM32%\Drivers\suchost.exe,修改注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run作为其启动项。并修改
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue以隐藏文件
2.病毒启动感染线程,感染时,病毒将正常文件附加在文件末尾,执行时恢复原始文件并执行。同时,病毒在每个文件夹内创建文件Desktop_.ini,内容为当天日期。
3.病毒尝试删除以下注册表键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP
4.病毒尝试删除以下服务:
kavsvc
McShield
McTaskManager
McAfeeFramework
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
5.病毒尝试关闭如下标题的窗口:
VirusScan
NOD32
SymantecAntiVirus
SystemSafetyMonitor
SystemRepairEngineer
msctls_statusbar32
pjf(ustc)
IceSword
6.病毒尝试终止如下进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
7.病毒尝试下载http://www.d***g**.com/__/___列表文件并执行。(更新自身)
8.病毒调用WinExec删除共享(cmd.exe/cnetshareadmin$/del/y)
9.病毒修改注册表HKCR\HTTP\shell\open\command为"C:\ProgramFiles\InternetExplorer\iexplore.exe"-nohome,并在后台启动并访问www.d****_8.com/d_**/tj/m__.asp?m___。
