“刻毒蟲”變種aeb
“刻毒蟲”變種aeb是一款蠕蟲病毒,影響Win 9X/ME/NT/2000/XP/2003系統,在被感染系統中新建一個隨機名稱的系統服務,並通過“svchost.exe”或“services.exe”實現開機自動運行。其還會修改檔案和註冊表的訪問控制對象,致使用戶無法刪除自身產生的檔案和註冊表項。
病毒信息
英文名稱:Worm/Kido.aeb
中文名稱:“刻毒蟲”變種aeb
病毒類型:蠕蟲
影響平台:Win9X/ME/NT/2000/XP/2003
病毒描述
Worm/Kido.aeb“刻毒蟲”變種aeb是“刻毒蟲”家族中的最新成員之一,該蠕蟲是由“kido”主程式釋放出來的DLL功能組件,經過加殼保護處理。“刻毒蟲”變種aeb運行後,會移動自身到“%SystemRoot%\system32\”資料夾下,若不成功則進一步嘗試移動到“C:\ProgramFiles\MovieMaker\”、“%USERPROFILE%\ApplicationData\”、“%Temp%”等資料夾下,重新命名為“*.dll”(檔案名稱為隨機字元串,不過通常是“bqwzif.dll”)。另外還會釋放一個臨時的惡意驅動程式。“刻毒蟲”變種aeb運行時,會將惡意程式插入“svchost.exe-knetsvcs”中隱秘運行(沒有該進程則會插入“explorer.exe”進程之中)。關閉系統自動更新、後台智慧型傳輸、安全中心、WinDefend等服務,並通過刪除相關註冊表項使“安全中心”和“WinDefend”不可用。“刻毒蟲”變種aeb會通過網路向存在MS08-067漏洞的網上鄰居進行傳播。其會將病毒檔案複製到目標計算機的“%SystemRoot%\system32\”資料夾下,重新命名為“X”。複製到“C:\DocumentsandSettings\NetworkService\LocalSettings\TemporaryInternetFiles\Content.IE5”資料夾下,隨機命名成“*.jpeg”、“*.png”、“*.gif”或“*.bmp”擴展名的檔案,並通過創建計畫任務的方式將其激活。“刻毒蟲”變種aeb會利用自帶的密碼錶對使用弱口令的網上鄰居進行猜解,意圖進一步的控制被感染系統。監視系統中打開的視窗,並關閉帶有指定字元串(大部分為安全廠商名稱)的視窗。同時還會阻止用戶連線指定的站點(通常是安全軟體或微軟的網站),干擾用戶通過網路尋求病毒的解決方案。利用特定算法生成大量的隨機域名,同時下載其它的惡意程式,用戶可能因此而遭受信息泄露、遠程控制、垃圾郵件等侵害。“刻毒蟲”變種aeb還可通過移動存儲設備進行傳播,當其發現有新的移動存儲設備接入時,便會在其根目錄下創建資料夾“RECYCLER\S-*-*-*-*-*-*-*”(*為隨機字元串),並在其中生成自身副本“*.VMX”(檔案名稱隨機,不過通常是“jwgkvsq.vmx”),同時在根目錄下創建“autorun.inf”,設定上述檔案及資料夾屬性為“系統、唯讀、隱藏”,以此實現利用系統自動播放功能進行傳播的目的。“刻毒蟲”變種aeb會在被感染系統中新建一個隨機名稱的系統服務,並通過“svchost.exe”或“services.exe”實現開機自動運行。其還會修改檔案和註冊表的訪問控制對象,致使用戶無法刪除自身產生的檔案和註冊表項。