病毒類型: 木馬
危害等級: 中
文件長度: 12,255 字節
感染系統: windows 9x 及以上版本
開發工具: Visual C++
加殼類型: 未知殼
病毒描述:
該木馬會修改註冊表設置並刪除系統中 MIME 控制,該木馬會修改註冊表的 鍵值 ,刪除某些 鍵值, 修改系統服務配置,達到隨系統啟動的目的。拷貝自身到 %System% 下,病毒名後兩個字符不定。修改註冊表中 CLSID 下的鍵值,更改 IE 設置。
行為分析:
1 、修改註冊表如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\ServiceCurrent\@
舊值: DWORD: 7 (0x7) 新值 : DWORD: 8 (0x8)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
\Count
舊值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
\NextInstance
舊值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
新建值如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\LocalServer32\@ 鍵值為病毒所在路徑。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I
\DisplayName
鍵值: 字串 : "Network Security Service (NSS)" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I
\ErrorControl
鍵值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I\ImagePath
鍵值:病毒所在路徑
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛鬧 `I
\DisplayName
鍵值 : 字串 : "Network Security Service (NSS)"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛鬧 `I
\ObjectName
鍵值 : 字串 : "LocalSystem"
2 、修改以下四種服務配置中的壹種,把這個服務過程的主線程連接到服務控制管理程序中,並更新服務控制管理程序的狀態信息,從而達到隨系統啟動的目的。
Network Security Service
Network Security Service (NSS)
Remote Procedure Call (RPC) Helper
Workstation Netlogon Service
3 、添加註冊表中的 RunServices 項和 Applications 項 :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellCompatibility\Applications\
建值由釋放的病毒體名決定 .
4 、大量修改如下鍵值:
HKEY_CURRENT_USER\CLSID\\LocalServer32\
= <path>\<filename.exe>
5 、釋放病毒體:
Windows 2000 和 NT 下,位於 %Windir%\System32\
Windows 95 、 98 和 ME 下,位於 %Windir%\System32
Windows XP 下,位於 %Windir%\System32
6 、釋放的病毒體名不定 , 從 "0123456789ABCDEF" 隨機選取兩個字符作為病毒名的
後兩個字節。病毒體名前字符串為以下幾種:
add api app atl cr cr d3 ie ip java mfc ms net nt sdk sys win
其實方法很簡單,只要知道了感染哪些地方,然後把上面這些都清除就可以了