Worm.Win32.Dedler.d

2008-02-23 09:17:33来源：互联网阅读 ()

病毒名称: Worm.Win32.Dedler.d 类别：蠕虫病毒病毒资料：破坏方法：

蠕虫病毒

病毒使用VC编写，采用"Crypter v1.x"和"UPX"进行压缩。

病毒运行后将自己复制到％SYSDIR％目录下，文件名为"csmrs.exe"。

创建名为"4D36E64A-E325-111E-BFC1-080C2BE11318"的互斥量，以确保只有一个病毒文件在运行。

修改注册表以下键值，以达到其自启动的目的：

1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
数据项名称可能为：
"WIN95DEFVIEW"、
"VC5MediaPlayer"、
"WindowsInstaller"、
"MsgApi"
数据值为："％SYSDIR％\CSMRS.EXE"

查看当前系统中是否有以下服务，如果有病毒将会把这服务删除：

"nwclntserv"
"wuauserv"
"navapsvc"
"Symantec Core LC"
"SAVScan"
"kavsvc"
"Network Client"
"Network Client Monitor"

删除注册表以下键值：

1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
数据项：
"ActiveXUpdate"、
"MicrosoftOEM"、
"SoundControl"、
"OfficeGuardUI"

2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
数据项：
"ActiveXUpdate"、
"MicrosoftOEM"、
"SoundControl"、
"OfficeGuardUI"

修改系统文件"HOST"，导致用户无法正常访问以下网站：

ids.kASPersky-labs.com

downloads2.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
download.McAfee.com
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
www.grisoft.com
下载指定网址的文件到本地计算机并运行。
连接"login.icq.com"通过ICQ为控制端提供远程控制服务。
通过网络进行传播。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-13

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有