Worm.Lentin.z.enc
2008-02-23 09:23:18来源:互联网 阅读 ()
病毒名称:
Worm.Lentin.z.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
病毒是Visual C 编写,采用UPX压缩的蠕虫
它使用它自己的SMTP引擎来向windows 的地址薄中的联系人、MSN中联系人、等其他Email邮件地址发送带毒邮件;
试图通过共享网络和映射驱动器、KAZaA文件共享网络来传播;能够记录键盘操作、执行拒绝服务攻击。
能够终止许多计算机防护软件的运行。
病毒一旦运行,将复制自己到如下目录:
%SYSDIR%\exe32.exe
%SYSDIR%\\msmgr32.exe
%CommonStartup%\msmgr32.exe
%CurrentUserStartup%\msmgr32.exe
生成下列文件:
%WINDIR%\Hosts
%WINDIR%\Lmhosts
%SYSDIR%\etc\hosts
%SYSDIR%\etc\Lmhosts
这些文件包含的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.sophos.com
127.0.0.1 www.avp.ch
127.0.0.1 www.McAfee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www3.ca.com
127.0.0.1 www.ca.com
文件:Hosts 包含IP地址到主机名的映射
Lmhosts 包含IP地址到计算机名的映射,病毒修改这些文件的目的是让用户无法登录这些网站;
还会生成文件:
%SYSDIR%\mss32.dll,用来保存Eamil地址
添加如下键值以使自己随系统启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"MsManager"="%System%\msmgr32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"MsManager"="%System%\msmgr32.exe"
修改下列文件关联:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\batfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\comfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\exefile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\piffile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
\scrfile\shell\open\command
"@"=""%SYSDIR%\exe32.exe""%1"%*"
这样当用户执行这些扩展名的文件时首先执行病毒
病毒还禁止使用注册表工具:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
创建如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RedWorm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Winver
HKEY_LOCAL_MACHINE\Winver
删除如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
"syshelp"
"WinGate initialize"
"Module Call initialize"
"WinServices"
"WindowsMGM"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WinServices"
HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunServices
"WindowsMGM"
删除如下文件:<如果存在的话>
%SYSDIR%\WinServices.exe
%SYSDIR%\nav32_loader.exe
%SYSDIR%\tcpsvs32.exe
%SYSDIR%\syshelp.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\WinRpcsrv.exe
%SYSDIR%\winmgm32.exe
%WINDIR%\SNTMLS.DAT
枚举下列活动的窗口并终止它的运行:
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer
枚举下列活动的进程并终止之:
_AVP32
_AVP32.EXE
_AVPCC
_AVPCC
_AVPCC.EXE
_AVPM
_AVPM.EXE
AckWin32
AckWin32
ACKWIN32
AckWin32.exe
AckWin32.exe
ACKWIN32.EXE
ADVXDWIN
....
....
....
在端口139、135、445对几个预定义的主机执行拒绝服务攻击;
搜索目录:%WINDIR%\INETPUB\WWWROOT目录下的搜索扩展名为.htm、.Html的文件,并替换其内容为:
Ha..Ha..Haaa...
病毒检索注册表的KaZaA共享文件夹,执行如下操作:
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
