病毒运行后将自己复制到%SYSDIR%目录下;
修改注册表以下键值以达到其自启动的目的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
查找包含以下字符串的窗体,并将它们关闭:
"卡巴斯基反病毒单机版"
"Symantec AntiVirus 企业版"
"江民杀毒软件 KV2004:实时监视"
"RavMon.exe"
"ZoneAlarm"
"天网防火墙个人版"
"天网防火墙企业版"
"噬菌体"
"木马克星"
查找并结束以下进程:
"FireTray.exe"、"UpdaterUI.exe"、"TBMon.exe"、"SHSTAT.EXE"、"RAV.EXE"、"RAVMON.EXE"、"RAVTIMER.EXE"、"KVXP.KXP"、"KVCENTER.KXP"、"Iparmor.exe"、"MAILMON.EXE"、"KAVPFW.EXE"、"KVFW.EXE"、"KVMonXP.KXP"、"KAVPLUS.EXE"、"KWATCHUI.EXE"、"KPOPMON.EXE"、"KAV32.EXE"、"CCAPP.EXE"、"MCAGENT.EXE"、"MCVSESCN.EXE"、"MSKAGENT.EXE"、"EGHOST.EXE"、"KRegEx.exe"、"TrojDie.kxp"、"KVOL.exe"、"kvolself.exe"
修改注册表以下键,清除它们的数据项:
1.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
3.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc
5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
6.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
7.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
8.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
9.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
10.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
11.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
12.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
13.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
14.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
15.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
16.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
17.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
这些是反病毒软件以及监控软件所使用的服务名。
在后台运行,搜索OICQ登录窗体,试图窃取OICQ登录帐号和密码,并将窃取的信息发送到指定信箱。
|
|
