概述
病毒別名: 處理時間:2006-09-06 威脅級別:★中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
:該病毒是一個會竊取用戶信息的木馬,並且受感染機器會對指定的機器進行攻擊,
建議電腦用戶不要隨便運行不名來歷的檔案,以免中毒受害。
1、生成的檔案
%SystemRoot%\system32\server.exe
2、NT系統下安裝服務實現自啟動,9x系統添加註冊表啟動
HKLM\System\CurrentControlSet\Services\MessageForBox
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\MessageForBox
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\MessageForBox
"ImagePath" = "C:\WINNT\system32\Server.exe -NetSata"
HKLM\System\CurrentControlSet\Services\MessageForBox
"DisplayName" = "Windows MessengerBox"
HKLM\System\CurrentControlSet\Services\MessageForBox
"Description" = "計算機磁碟管理"
3、調用CMD執行清除系統日誌的命令
/c del %SystemRoot%\\*.log
/c del %SystemRoot%\\*.txt
/c del %SystemRoot%\\system32\\*.log
/c del %SystemRoot%\\system32\\*.txt
4、按照http://www.looksoft.**/ip.txt檔案內容,對其指定的機器進行DDOS攻擊。
ip.txt內容
-------------------------------
ddosvip220.170.***.10:82edd
-------------------------------
5、關閉下列名稱進程
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXP
Symantec AntiVirus 企業版
江民防毒軟體 KV2006:實時監視
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天網防火牆個人版
TApplication
天網防火牆企業版
TForm1
噬菌體
木馬剋星
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
kvsrvxp.exe
trojdie.kxp
kvmonxp.kxp
kregex.exe
kvsrvxp.exe
6、在原病毒目錄下生成_deleteme.bat檔案實現自刪除。
