| 订阅 | 在线投稿
分享
 
 
 

Worm.Death.ad

来源:互联网  宽屏版  评论
2008-08-14 22:52:32

病毒名称(中文):

死亡之吻

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

94720

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是"死亡之吻"的一个新变种,与以前版本区别是此版本的变种只感染exe文件.

1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe

并往系统目录里面释放一个病毒体

%system%\\Supervise.exe(Worm.Death.ad.103936)

2.修改注册表

使"显示隐藏文件"不可选

HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

"CheckedValue"="0x00"

尝试删除注册表键值

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

internat.exe

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings

ProxyServer

ProxyOverrade

AutoConfigURL

添加自启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Supervise.exe"="%system%\\Supervise.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Death.exe"="%system%\Death.exe"(没有此文件)

3.中止进程

病毒中止以下进程名的进程

EGHOST.EXE

MAILMON.exe

kavpfw.exe

iparmor.exe

_AVP32.EXE

_AVPCC.exe

_avpm.exe

avp.exe

navapw32.exe

navw32.exe

nod32kui.exe

nod32kru.exe

PFW.exe

Kfw.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VstskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

RKVXP.kxp

KvmonXP.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundll32.exe

runiep.exe

4.枚举窗口

病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息

SymantecAntiVirus企业版

江民杀毒软件KV2006:实时监视

LockDownMain

ZoneAlarm

天网防火墙个人版

天网防火墙企业版

VirusScan

SymantecAntivirus

DubaWrappedgiftKiller

IceSword

pjf(ustc)

噬菌体

木马克星

5.感染文件

病毒会感染扩展名为EXE的文件,

感染方式是叠加感染

6.局域网传播

病毒生成密码字典C:\pass.dic

并使用该字典上面的密码尝试登录局域网内机器

若登录成功,则感染该机

7.感染移动硬盘

病毒会在移动存储器的分区里面生成autorun.ini

写入以下内容

[Autorun]

OPEN=Death.exe

shellexecute=Death.exe

shell\Auto\command=Death.exe

并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上.

建议用户设定登录帐号的密码不能过于简单

病毒名称(中文): 死亡之吻 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 94720 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是"死亡之吻"的一个新变种,与以前版本区别是此版本的变种只感染exe文件. 1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe 并往系统目录里面释放一个病毒体 %system%\\Supervise.exe(Worm.Death.ad.103936) 2.修改注册表 使"显示隐藏文件"不可选 HKLM\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL "CheckedValue"="0x00" 尝试删除注册表键值 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run internat.exe HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings ProxyServer ProxyOverrade AutoConfigURL 添加自启动项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Supervise.exe"="%system%\\Supervise.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "Death.exe"="%system%\Death.exe"(没有此文件) 3.中止进程 病毒中止以下进程名的进程 EGHOST.EXE MAILMON.exe kavpfw.exe iparmor.exe _AVP32.EXE _AVPCC.exe _avpm.exe avp.exe navapw32.exe navw32.exe nod32kui.exe nod32kru.exe PFW.exe Kfw.exe KAVPFW.exe vsmon.exe Mcshield.exe VstskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe RKVXP.kxp KvmonXP.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundll32.exe runiep.exe 4.枚举窗口 病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息 SymantecAntiVirus企业版 江民杀毒软件KV2006:实时监视 LockDownMain ZoneAlarm 天网防火墙个人版 天网防火墙企业版 VirusScan SymantecAntivirus DubaWrappedgiftKiller IceSword pjf(ustc) 噬菌体 木马克星 5.感染文件 病毒会感染扩展名为EXE的文件, 感染方式是叠加感染 6.局域网传播 病毒生成密码字典C:\pass.dic 并使用该字典上面的密码尝试登录局域网内机器 若登录成功,则感染该机 7.感染移动硬盘 病毒会在移动存储器的分区里面生成autorun.ini 写入以下内容 [Autorun] OPEN=Death.exe shellexecute=Death.exe shell\Auto\command=Death.exe 并拷贝一个病毒体到分区里面,一但用户不注重时,病毒就通过U盘传染到另一台机器上. 建议用户设定登录帐号的密码不能过于简单
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有