病毒名稱
病毒別名:IM-Worm.Win32.Aimes.b【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
這是一個通過AIM傳播的蠕蟲病毒。該病毒會在特定目錄下尋找AIM並運行,然後給AIM好友傳送信息:“Hey I went to a wild party last
week! checkout the pics!!!!”,並傳送檔案檔案C:\party!!.pif,以此進行傳播。病毒還修改註冊表禁止任務管理器和註冊表編輯器,嘗試調用TaskKill關閉某些系統進程,並對某個網站發動攻擊。
1.釋放檔案。
將自己複製為以下檔案:
C:\Windows\sys32dll.exe
C:\party!!.pif
2.修改註冊。
修改添加註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sys32dll
"<病毒全路徑>C:\Windows\sys32dll.exe"
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
"NoAutoUpdate"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\security center\
"FirewallDisableNotify"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\security center\
"UpdatesDisableNotify"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\security center\
"AntiVirusDisableNotify"=dword:0x1
HKLM\Software\Microsoft\security center\
"FirewallDisableNotify"=dword:0x1
HKLM\Software\Microsoft\security center\
"UpdatesDisableNotify"=dword:0x1
HKLM\Software\Microsoft\security center\
"AntiVirusDisableNotify"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
"DisableRegistryTools"=dword:0x1
刪除註冊表鍵值:
HKLM\software\Microsoft\windows\currentversion\run
"windows auto update.exe"
3.終止系統進程(Win XP以上系統):
TASKKILL /T /F /IM SVCHOST.exe
TASKKILL /F /IM LSASS.exe
4.並對某個網站發動攻擊。
5.嘗試運行AIM:
C:\Program Files\AIM\aim.exe
C:\Program Files\aim95\aim.exe
C:\Program Files\AIM\aim.exe
C:\Program Files\AIM95\aim.exe
給AIM好友傳送信息:“Hey I went to a wild party last week! checkout the pics!!!!”,並傳送檔案檔案C:\party!!.pif,以此進行傳播。
