病毒名稱
Win32.Troj.Reper病毒別名:Trojan.Reper【KV】
處理時間:
威脅級別:★★
中文名稱:瑞普
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為
該病毒偽裝成記事本檔案,一旦並運行之後會將自己複製到系統的多個目錄中。該病毒運用了多種常用的方法獲得運行權。並在每個可寫的邏輯磁碟的根目錄生成autorun.inf檔案,每次用戶打開邏輯磁碟的時候病毒就悄悄地自動運行了。病毒每隔2秒左右就將自己載入到註冊表的啟動項,以使每次開機都運行病毒;病毒還修改文本檔案的關聯程式指向自身,這樣用戶每次打開文本檔案的時候病毒又悄悄地運行起來。病毒會關閉Windows任務管理器,註冊表編輯器,進程查看器,命令行視窗程式,進程名字中包含字元"進程"、"任務"、"毒"、"木"、"殺"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的進程,這將關閉眾多的反病毒軟體,大大降低了中毒機器的安全性能,給其他病毒大開方便之門。病毒還激活guest帳戶,添加一個管理員帳戶,並且刪除默認的管理員帳戶"Administrator",為黑客攻擊打開後門。
1.病毒檢查當前目錄,如果是根目錄,就創建Explorer進程,打開當前目錄;如果不是根目錄,就創建互斥體nothing,防止多個實例同時運行。
2.將自身複製為以下檔案(路徑是硬編碼的,如過不存在就釋放不成功):
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\login.pif
C:\Documents and Settings\<當前用戶名>\「開始」選單\程式\啟動\login.pif
修改檔案C:\autoexec.bat內容。
並在每個可寫的邏輯磁碟的根目錄生成以下隱藏檔案
reper.exe (該檔案是病毒的副本)
autorun.inf
autorun.inf檔案的內容為:
【autorun】
open=reper.exe
當用戶打開磁碟的時候病毒就自動運行了。
3.修改註冊表。
添加啟動項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"
修改文本檔案關聯程式為病毒檔案:
HKCR\txtfile\shell\open\command\
"默認"="%System%\N0TEPAD.EXE %1"
4.創建兩個執行緒,一個時鐘。
1)一個執行緒用來關閉特定的進程:
regedit.exe
cmd.exe
ntvdm.exe
以及進程名中包含任意任意一下字元串的進程:
"task"
"proc"
"進程"
"prcview.exe"
"任務"
"毒"
"wom"
"木馬"
"殺"
"doctor"
"kill"
2)另一個進程用來每2分鐘運行一次C:\autoexec.bat。該檔案被修改以後運行,將激活guest帳戶,添加一個管理員帳戶,並且刪除默認的管理員帳戶"Administrator"。
3)設定時鐘每隔1200毫秒進行一次複製檔案和註冊表修改。