P2P-Worm.Win32.Darby.q
2008-02-23 09:17:30来源:互联网 阅读 ()
病毒名称:
P2P-Worm.Win32.Darby.q
类别: 蠕虫病毒
病毒资料:
破坏方法:
vb写的蠕虫病毒。
采用文件夹图标,酷似文件夹,欺骗用户点击运行。
一、把自己复制若干份到系统目录:
Image0X.scr
NETCALCSET.BAT
IPPLAYER040A.COM
IPLOADSTAT.PIF
KillUsa.exe
brgCgjB.bat
二、为了随系统启动而自动运行,多处破坏系统的设置。
1.破坏文件关联:
HKCR\exefile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\batfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\comfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\piffile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" %*"
HKCR\scrfile\shell\open\command\(Default) = "C:\WINNT\System32\NETCALCSET.BAT "%1" /S"
2.注册表自启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
"NETCALCSET" : %SYSTEM%\NETCALCSET.BAT
3.修改win.ini、system.ini 的启动项
4.创建服务:
(Display Name)GEDZAC Service : (IMAGEPATH)%SYSTEM%\NETCALCSET.BAT
5.禁用某些注册表工具和任务管理器:
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
\DisableRegistryTools = 0x1
HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
\DisableTaskMgr = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
\DisableRegistryTools = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
\DisableTaskMgr = 0x1
三、试探连接局域网上的其他机器,使用下列密码试探(只列出部分)
123
1234
12345
123456
1234567
12345678
654321
54321
111
11111
111111
11111111
000000
00000000
pass
5201314
88888888
888888
passwd
passWord
database
test
server
.......
四、枚举局域网共享可写目录,查找p2p软件共享目录,把自身拷贝过去,命名为下列文件(只列出部分)
divx pro.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
play station emulator.exe
virtua girl - adriana.exe
virtua girl - bailey short skirt.exe
Virtua Girl (Full).exe
warcraft 3 crack.exe
warcraft 3 serials.exe
counter-strike.exe
Delphi.exe
divx_pro.exe
HotGirls.exe
hotmail_hack.exe
pamela_anderson.exe
serials2000.exe
subseven.exe
VB6.exe
Age of Empires 2 crack.exe
Animated Screen 7.0b.exe
.....
五、终止包含下列字符串的进程(只列出部分),一般是反病毒软件的程序。病毒还会删除相应的文件。
avk
ave32
anti-trojan
avsched32
avconsol
ackwin32
autodown
alert
amon
avmon
antivir
avsynmgr
avnt
avrep32
ants
atcon
atupdater
atwatch
autotrace
aplica32
atro55en
aupdate
autoupdate
.......
六、发送携带病毒的邮件。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-20
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Complainant
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
