中毒明显症状:会运行个NEC.exe的文件,禁止开注册表,开任务管理器,通过运行开dos窗口的操作.
详见:
http://www.kill.com.cn/vir/ruchong/middle/1707.asp
还有一个,如下:
病毒名称:Win32.Troj.Reper 影响系统:Win9x / WinNT 处理时间:
中文名称:瑞普 病毒类型:木马 威胁级别: ★★
病毒别名:Trojan.Reper[KV]
病毒行为
该病毒伪装成记事本文件,一旦并运行之后会将自己复制到系统的多个目录中。该病毒运用了多种常用的方法获得运行权。并在每个可写的逻辑磁盘的根目录生成autorun.inf文件,每次用户打开逻辑磁盘的时候病毒就悄悄地自动运行了。病毒每隔2秒左右就将自己加载到注册表的启动项,以使每次开机都运行病毒;病毒还修改文本文件的关联程序指向自身,这样用户每次打开文本文件的时候病毒又悄悄地运行起来。病毒会关闭Windows 任务管理器,注册表编辑器,进程查看器,命令行窗口程序,进程名字中包含字符"进程"、"任务"、"毒"、"木"、"杀"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的进程,这将关闭众多的反病毒软件,大大降低了中毒机器的安全性能,给其他病毒大开方便之门。病毒还激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator",为黑客攻击打开后门。
1.病毒检查当前目录,如果是根目录,就创建Explorer进程,打开当前目录;如果不是根目录,就创建互斥体nothing,防止多个实例同时运行
2.将自身复制为以下文件(路径是硬编码的,如过不存在就释放不成功):
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\login.pif
C:\Documents and Settings\<当前用户名>\「开始」菜单\程序\启动\login.pif
修改文件C:\autoexec.bat内容。
并在每个可写的逻辑磁盘的根目录生成以下隐藏文件
reper.exe (该文件是病毒的副本)
autorun.inf
autorun.inf文件的内容为:
[autorun]
open=reper.exe
当用户打开磁盘的时候病毒就自动运行了。
3.修改注册表。
添加启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"
修改文本文件关联程序为病毒文件:
HKCR\txtfile\shell\open\command"默认"="%System%\N0TEPAD.EXE %1"
4.创建两个线程,一个时钟。
1)一个线程用来关闭特定的进程:
regedit.exe
cmd.exe
ntvdm.exe
以及进程名中包含任意任意一下字符串的进程:
"task"
"proc"
"进程"
"prcview.exe"
"任务"
"毒"
"wom"
"木马"
"杀"
"doctor"
"kill"
2)另一个进程用来每2分钟运行一次C:\autoexec.bat。该文件被修改以后运行,将激活guest帐户,添加一个管理员帐户,并且删除默认的管理员帐户"Administrator"。
3)设置时钟每隔1200毫秒进行一次复制文件和注册表修改。
----------------------------------------------------
手动杀Reper病毒:
用干净的光盘启动删除:
1、伪装的N0TEPAD.EXE--特征:大小为208kB(正常的为65kB)
2、C:\Documents and Settings\All Users\「开始」菜单\程序\启动\startup.pif--特征:大小为208kB
3、每个可读写的逻辑磁盘的根目录下的2个隐藏文件:
reper.exe (该文件是病毒的副本)--特征:大小为208kB
autorun.inf
4、C:\windows\viewer.exe--特征:大小为208kB
删除后,重新启动Winxp,发现一切正常。N0TEPAD.EXE能正常使用,注册表也能打开了。
