Worm.Aimdes.b

2017-11-30    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
病毒名称(中文):
病毒别名: IM-Worm.Win32.Aimes.b[AVP]
威胁级别: ★★☆☆☆
病毒类型: 蠕虫病毒
病毒长度: 40960
影响系统: Win9xWinNT



病毒行为:

这是一个通过AIM传播的蠕虫病毒。该病毒会在特定目录下寻找AIM并运行,然后给AIM好友发送信息:“HeyIwenttoawildpartylast
week!checkoutthepics!!!!”,并发送文件文件C:\party!!.pif,以此进行传播。病毒还修改注册表禁止任务治理器和注册表编辑器,尝试调用TaskKill关闭某些系统进程,并对某个网站发动攻击。

1.释放文件。
将自己复制为以下文件:
C:\Windows\sys32dll.exe
C:\party!!.pif

2.修改注册。
修改添加注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sys32dll
"<病毒全路径>C:\Windows\sys32dll.exe"

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
"NoAutoUpdate"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"FirewallDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"UpdatesDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"AntiVirusDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"FirewallDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"UpdatesDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"AntiVirusDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
"DisableRegistryTools"=dword:0x1

删除注册表键值:
HKLM\software\Microsoft\windows\currentversion\run
"windowsautoupdate.exe"

3.终止系统进程(WinXP以上系统):
TASKKILL/T/F/IMSVCHOST.exe
TASKKILL/F/IMLSASS.exe

4.并对某个网站发动攻击。

5.尝试运行AIM:
C:\ProgramFiles\AIM\aim.exe
C:\ProgramFiles\AIM95\aim.exe
C:\ProgramFiles\AIM\aim.exe
C:\ProgramFiles\AIM95\aim.exe

给AIM好友发送信息:“HeyIwenttoawildpartylastweek!checkoutthepics!!!!”,并发送文件文件C:\party!!.pif,以此进行传播。


标签: 网站

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:宽带来临 封杀FSO躲避木马程序的侵扰

下一篇:如何拒绝木马读取你的硬盘