Worm.Avron.b
2008-02-23 09:20:41来源:互联网 阅读 ()
病毒名称:
Worm.Avron.b
类别: 蠕虫病毒
病毒资料:
破坏方法:
此病毒感染安装有 Windows 95, Windows 98, Windows Me操作系统的计算机,发作日期为7、11、24日。当病毒启动后,如果发现自己已经驻留系统中,则退出;否则,开辟七个线程,进行疯狂的破坏。但是普通用户却感觉不到。
破坏行径如下:
一、立即杀死下列112个进程(按照病毒搜索顺序排列):
KPF.EXE
KPFW32.EXE
_AVPM.EXE
AUTODOWN.EXE
AVKSERV.EXE
AVPUPD.EXE
BLACKD.EXE
CFIND.EXE
CLEANER.EXE
ECENGINE.EXE
F-PROT.EXE
FP-WIN.EXE
IAMSERV.EXE
ICLOADNT.EXE
IFACE.EXE
LOOKOUT.EXE
N32SCAN.EXE
NAVW32.EXE
NORMIST.EXE
PADMIN.EXE
PCCWIN98.EXE
RAV7WIN.EXE
SCAN95.EXE
SMC.EXE
TCA.EXE
VETTRAY.EXE
VSSTAT.EXE
ACKWIN32.EXE
AVCONSOL.EXE
AVPNT.EXE
AVPDOS32.EXE
AVSCHED32.EXE
BLACKICE.EXE
EFINET32.EXE
CLEANER3.EXE
ESAFE.EXE
F-PROT95.EXE
FPROT.EXE
IBMASN.EXE
ICMOON.EXE
IOMON98.EXE
LUALL.EXE
NAVAPW32.EXE
NAVWNT.EXE
NUPGRADE.EXE
PAVCL.EXE
PCFWALLICON.EXE
RESCUE.EXE
SCANPM.EXE
SPHINX.EXE
TDS2-98.EXE
VSSCAN40.EXE
WEBSCANX.EXE
WEBSCAN.EXE
ANTI-TROJAN.EXE
AVE32.EXE
AVP.EXE
AVPM.EXE
AVWIN95.EXE
CFIADMIN.EXE
CLAW95.EXE
DVP95.EXE
ESPWATCH.EXE
F-STOPW.EXE
FRW.EXE
IBMAVSP.EXE
ICSUPP95.EXE
JED.EXE
MOOLIVE.EXE
NAVLU32.EXE
NISUM.EXE
NVC95.EXE
NAVSCHED.EXE
PERSFW.EXE
SAFEWEB.EXE
SCRSCAN.EXE
SWEEP95.EXE
TDS2-NT.EXE
VSECOMR.EXE
WFINDV32.EXE
AVPCC.EXE
_AVPCC.EXE
APVXDWIN.EXE
AVGCTRL.EXE
_AVP32.EXE
AVPTC32.EXE
AVWUPD32.EXE
CFIAUDIT.EXE
CLAW95CT.EXE
DV95_O.EXE
DV95.EXE
F-AGNT95.EXE
FINDVIRU.EXE
IAMAPP.EXE
ICLOAD95.EXE
ICssUPPNT.EXE
LOCKDOWN2000.EXE
MPFTRAY.EXE
NAVNT.EXE
NMAIN.EXE
OUTPOST.EXE
NAVW.EXE
RAV7.EXE
SCAN32.EXE
SERV95.EXE
TBSCAN.EXE
VET95.EXE
VSHWIN32.EXE
ZONEALARM.EXE
AVPMON.EXE
AVP32.EXE
二、修改注册表:
1.创建新键 :HKLM\Software\OvG\Avril Lavigne 设置值为"Done",标志为已经感染系统;
2.登记为开机自启动 :
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run\Avril Lavigne - Muse,
值为"%SYSTEM%\<随机字符串>.EXE",即病毒本身。
三、驻留文件系统
将自己隐藏到下列目录,从0-9和A-F中拼凑出随机字符串作为文件名称。
1.%Temporary%\<随机字符串>.tft
2.%System%\<随机字符串>.exe
3.%所有磁盘%\Recycled\<随机字符串>.exe
4.%当前局域网连接的可写目录%<可选文件名>.exe。
可选文件名如下:
Resume.exe
Download.exe
Readme.exe
Singles.exe
Sophos.exe
Sk8erBoi.exe
5.%TEMP%\<随机字符串>.TFT
6.%TEMP%\AVRIL-II.INF
7.释放一个script.ini文件,利用IRC来发送病毒。
四、遍历所有的窗口,如果窗口标题中包含下列字符串,立即杀掉相应进程。
Anti 、
AVP、
McAfee、
Norton、
virus、
anti、
Virus。
五、连接网络
如果用户没有连接Internet,病毒试图从注册表的Software\Microsoft\Internet Account Manager\Accounts\Default Mail Account中取得账户和密码,调用系统服务InternetAutodial偷偷登陆网络。
六、发染毒邮件
病毒不仅枚举注册表中的地址薄和邮件服务器,而且还有枚举下列磁盘文件:
.htm、
.tbb、
.sHtml、
.nch、
.idx、
.dbx、
.mbx、
.wab、
.html
.eml,
病毒会分析这些文件的内容,提取邮件地址和服务器,发送染毒邮件。
1.标题是下列之一:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Lentin.J
下一篇:Worm.SoBig
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
