W32.Chod.B@mm
2008-02-23 09:33:49来源:互联网 阅读 ()
病毒名称:
W32.Chod.B@mm
类别: 邮件病毒
病毒资料:
该病毒长度152,204 字节,感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型邮件病毒,能够通过MSN传播,在计算机里设置后门,使用IRC通信工具远程控制,重写Hosts文件,屏蔽一些安全网站访问,当收到、打开此病毒时,有以下危害:
A 显示以下信息
• Run-time Error
• Run-time error #7: Out of memory
B 创建以下文件到系统目录:
• cpu.dll
• [随机目录]\csrss.dat
• [随机目录]\csrss.exe
• [随机目录]\csrss.ini
C 创建快捷方式Programs\Startup\csrss.lnk到启动文件夹,使得每次开机病毒自动执行取得控制权。
D 每次执行时,病毒创建以下注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Csrss" = "%System%\[随机目录]\csrss.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Csrss" = "%System%\[随机目录]\csrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "%System%\[随机目录]\csrss.exe"
使得每次开机病毒自动执行取得控制权。
E病毒创建以下注册表项,作为自身识别感染标志
HKEY_CLASSES_ROOT\Chode\"Installed" = "1"
HKEY_CURRENT_USER\Software\Chode\"Installed" = "1"
F每次开机时,删除以下注册表项关闭反病毒软等软件的执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CAISafe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccProxy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccPwdSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccSetMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ISSVC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MCAgentExe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\navapsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OutpostFirewall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PcCtlCom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SAVScan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SBService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SmcService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SPBBCSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vsmon
G 病毒修改以下注册表项先隐藏自身
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
H 从注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\里删除以下值:
TmPfw
tmproxy
Tmntsrv
net stop
sc config
start
CleanUp
MCUpdateExe
VirusScan Online
VSOCheckTask
ccApp
Symantec NetDriver Monitor
Outpost Firewall
gcasServ
pccguide.exe
KAVPersonal50
Zone Labs Client
services
microsoft antispyware
hijackthis
I 修改注册表关闭组册表编辑和管理项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoAdminPage" = "1"
J 创建以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"Load" = "%System%\[随机目录]\csrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "%System%\[随机目录]\csrss.exe"
K 从以下扩展名的文件中搜寻邮件地址:
.adb
.ASP
.cgi
.ctt
.dbx
.dhtm
.doc
.eml
.htm
.Html
.msg
.oft
.PHP
.pl
.rtf
.sht
.shtm
.sql
.tbb
.txt
.uin
.vbs
.wab
.XML
邮件地址中包括以下内容时,不作处理,以便避开防毒软件等:
.gov
.mil
abuse
antivirus
avp
bitdefender
f-pro
f-secure
fbi
kaspersky
McAfee
messagelabs
microsoft
norton
spam
Symantec
L 发送以下内容的电子邮件传播自身:
From: (以下三种)
security@microsoft.com
security@trendmicro.com
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:VBS.Ypsan.D@mm
下一篇:W32/PetLil@MM
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
