“VB邮件蠕虫变种CC”病毒技术细节
点击次数:37 次 发布日期:2008-11-25 17:52:34 作者:源代码网
|
1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。 2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open="KAV32.exe" 3.查找OUTLook邮箱中的好友列表,然后把指定的网址http://ken23409.3322.org/index.htm发送给对方。 4.添加修改以下注册表项: (1) HKEY_CLASSES_ROOT.reg (默认) = TXTFILE (txtfile为默认的.txt文件打开、编辑方式,修改后将.reg文件当成.txt来处理)。 (2) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem "disableregistrytools" = 0X00000001 (禁用注册表编辑器) (3) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpolicieswinoldapp "disabled" = 0X00000001 (禁止在Windows下使用MS-DOS方式及其它DOS程序) (4) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionPoliciesExplorer "nosetfolders" = 0X00000001 (从开始菜单隐藏控制面板、打印机/网络连接) (5) HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer estrictions "nobrowseroptions" = 0X00000001(禁用IE的“Internet选项”及其对话框中所有属性设置) (6) HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel "homepage" = 0X00000001 (修改IE主页属性使按钮失效,用户无法更改"主页"栏) (7) HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel "securitytab" = 0X00000001 (禁止使用IE“Internet选项”中的“安全”菜单) (8) HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel "resetwebsettings" = 0X00000001 (隐藏网络标识) (9) HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerMain "start page" = HTTP://KEN23409.3322.ORG (修改IE主页为:HTTP://KEN23409.3322.ORG) (10) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun "Kav32" = C:KAV32.EXE (达到开机自启动目的) 5.从http://ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹,命名为:i.exe,并运行该病毒。(由于该网站下载连接已失效无法确认下载的是何种类型的病毒)。 6.查找以下反病毒软件窗口,找到后结束其进程: (1).江民杀毒软件KV2007 (2).金山毒霸2007 (3). 瑞星杀毒软件2007 (4).卡巴斯基反病毒软件 6.0 安全建议: 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 清除办法: 瑞星杀毒软件清除办法: 安装瑞星杀毒软件,升级到19.44.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 源代码网供稿. |
