这是一个蠕虫病毒
病毒运行以后,
在windows目录下建立shellnew目录把自己复制进去,起名为bronstab.exe,并设置文件属性为隐藏
把自己复制到windows目录下,名字为:eksplorasi.exe,并设置文件属性为隐藏
把自己复制到application data,名字为:smss.exe
把自己复制到application data,名字为:services.exe
把自己复制到application data,名字为:lsass.exe
把自己复制到application data,名字为:inetinfo.exe
把自己复制到application data,名字为:csrss.exe
在注册表启动项添加 bron-Spizaerus" c:\windows\shellnew\bronstab.exe
在注册表启动项添加 Tok-Cirrhatus" application data,名字为:smss.exe
在system.ini下添加BOOT shell=explorer.exe c:\windows\eksplorasi.exe
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
HideFileExt:0x00000001,隐藏文件扩展
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
Hidden:0x00000000,不显示隐藏文件
修改注册表值:current_user\software\microsoft\windows\currentversion\Explorer\Advanced
ShowSuperHidder:0x00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,中建立NoFolderOptions,屏蔽“文件夹选项”
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\中建立disableCMD,屏蔽CMD方式
建立注册表值:current_user\software\microsoft\windows\currentversion\policies\system
disableregistrytools:0x00000000,屏蔽注册表编辑工具
病毒启动以后,会创建几个线程
1.根据本地得到的信息,在后台访问网站,连接网站:http://www.geocities.com/
2.删除当前所有的任务计划,并建立一个新任务计划,就是每天的17:08分运行自己
在c盘下建立autoexec.bat,在其中添加pause的命令,并设置文件隐藏属性
3.每隔一定的时间,会在自己复制到移动磁盘上,图标为文件夹图标,误导用户点击,达到传播目的
4.用net view查看当前网络中的共享信息,访问并试图把自己复制到其他的计算机上
用TASKKILL命令结束当前运行的安全软件的进程并删除host文件
5.隐藏方式执行CMD命令,向两个网站不间断的发送PING包
6.在磁盘根目录上建立一个包含病毒基本信息的HTML文件,查找计算机中的后缀名为DOC文件,并在其中插入“KANGEN”字符串,查找计算机中的后缀名为PDF,XLS,PPT文件,设置其为隐藏属性
7.病毒搜索磁盘文件并从中提取mail地址.将以色情网站的名义,把自己夹带到附件中,群发邮件,达到传染的目的
病毒将忽略地址中带有以下字串的地址:
SECURE,SUPPORT,MASTER,MICROSOFT,VIRUS,HACK,
CRACK,LINUX,AVG,GRISOFT,CILLIN,SECURITY,SYMANTEC,
ASSOCIATE,VAKSIN,NORTON,NORMAN,PANDA,SOFT,SPAM,
BLAH,.VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOMPUTE
CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA
ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PLAB,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLUSERNAME,IPTEK,CLICK,SALES,PROMO...
|
|
【深 度 阅 读】 相 关 文 章
