 |
|
|
| 作者:佚名 电脑来源:网络 点击数: 更新时间:2008-2-20 |
|
病毒类型: 蠕虫类 文件 MD5: C39C4F97B2B5D94D5DC19DB0A2BBC982 公开范围: 完全公开 危害等级: 5 文件长度: 33,200 字节 感染系统: Windows98以上版本 病毒描述: 该病毒属后门类。病毒运行后衍生病毒文件到%System32%附属目录下。修改注册表, 添加服务、创建服务以到随机启动的目的;病毒完全运行后删除自身。连接网络下载病 毒文件,并执行,通过下载的病毒文件获取用户的敏感信息,该病毒可以通过局域网进 行传播。 行为分析: 本地行为: 1、文件运行后会释放以下文件: %System32%\com\comrepl32.exe 9,216 字节 %System32%\ drivers\pcibus.sys 90,112 字节 2、新增注册表: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\policies\Explorer\Run] 注册表值: "comrepl32" 类型: REG_SZ 值:"C:\windows\system32\com\comrepl32.exe" 描述:启动项,使病毒文件在当该系统的所有用户登陆该系统时, 运行病毒文件。 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\PciHardDisk] 注册表值: "Description" 类型: REG_SZ 值:"PciHardDisk" 描述:服务描述 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\PciHardDisk] 注册表值: "DisplayName" 类型: REG_SZ 值:"PciHardDisk" 描述:服务名称 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\PciHardDisk] 注册表值: "ImagePath" 类型: REG_SZ 描述:服务映像文件的启动路径 值:"C:\WINDOWS\system32\drivers\pcidisk.sys" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\PciHardDisk] 注册表值: "Start" 类型:DWORD 值: "3" 描述:服务的启动方式,手动 网络行为: 连接网络获取病毒文件的下载列表: http://dl.w3c****.com/elf_listo.txt 依据下载列表下载病毒文件 hxxp://rising.w3c****.com/1.exe hxxp://rising.w3c****.com/2.exe hxxp://rising.w3c****.com/3.exe hxxp://rising.w3c****.com/4.exe hxxp://rising.w3c****.com/5.exe hxxp://rising.w3c****.com/6.exe hxxp://rising.w3c****.com/7.exe hxxp://rising.w3c****.com/8.exe hxxp://rising.w3c****.com/9.exe hxxp://rising.w3c****.com/10.exe hxxp://rising.w3c****.com/11.exe hxxp://rising.w3c****.com/12.exe hxxp://rising.w3c****.com/13.exe hxxp://rising.w3c****.com/14.exe hxxp://rising.w3c****.com/15.exe hxxp://rising.w3c****.com/16.exe hxxp://rising.w3c****.com/17.exe hxxp://rising.w3c****.com/18.exe hxxp://rising.w3c****.com/19.exe hxxp://rising.w3c****.com/20.exe hxxp://rising.w3c****.com/re.exe 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32 清除方案: 1 、使用安天木马防线可彻底清除此病毒(推荐)。 2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置: (1)使用安天木马防线“服务管理”关闭病毒进程。 (2)删除病毒文件: %System32%\com\comrepl32.exe %System32%\drivers\pcibus.sys (3)删除病毒添加的注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion \policies\Explorer\Run] 注册表值: "comrepl32" 类型: REG_SZ 值:"C:\windows\system32\com\comrepl32.exe" [HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Services\PciHardDisk] 注册表值: "Description" 类型: REG_SZ 值:"PciHardDisk" [HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Services\PciHardDisk] 注册表值: "DisplayName" 类型: REG_SZ 值:"PciHardDisk" [HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Services\PciHardDisk] 注册表值: "ImagePath" 类型: REG_SZ 值:"C:\WINDOWS\system32\drivers\pcidisk.sys" [HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Services\PciHardDisk] 注册表值: "Start" 类型:DWORD 值: "3" |
| 电脑录入:不落尘埃 责任编辑:不落尘埃 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
| ■■相 关 文 章: | 网站版权与免责声明: |
| 警惕感染型Autorun 病毒 Javqhc木马中招表现和专杀下载 如何去掉讨厌的“windows盗版软件… 妙用Windows磁盘配额 让黑客无从… 网络应用不求人 故障及技巧集锦 硬盘坏道修复全攻略 高手耗尽毕生精力总结的电脑技巧 |
1、信息来源网络,感谢原创者和原录入者。本站转载其文并不代表赞同其观点或证实其内容。网站所有信息仅供参考,不构成任何之建议、推荐或指引,不能仅凭此信息购药、用药、诊断疾病或开处方,而应以其使用说明书为准,并谨遵医嘱。
2、网站中转载的资料及图片,其版权属原作者或页面内声明的版权人拥有。如果文章的作者或编辑认为不宜上网供大家浏览,或不应无偿使用,请及时用电子邮件或电话通知我们,以便迅速采取适当措施,避免双方造成不必要的经济损失。 |
|
||||||||||