当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
会自动关闭含有“杀毒”“瑞星”等字符的窗体的病毒 | |||
2007-6-1 10:16:11 文/ixigua 出处:网友博客 | |||
中毒症状: 病毒行为: 2、插入进程的随机8位数.dll检测窗口句柄,并关闭列入病毒名单的“关键字”一些冷门的工具也不放过````` 3、修改IFEO重定向劫持,指向的是:C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。 4、破坏安全模式和显示隐藏文件,达到自身防护的目的。 5、释放一个Dl1.exe,创建远程线程并调用IE下载木马,下载其他病毒文件。 6、(遍历)每个分区,在跟目录下生成Autorun.inf和随机8位的EXE,达到双击硬盘激活病毒。 7、依附宿主的随机8位Dll每隔一段时间刷新,检测自身释放的“同党”和修改的注册表项,如果被修改和删除的话即使其恢复。并监视移动介质盘插入,支持U盘传播````````` 8、修改安全工具(杀软)服务和驱动的启动类型,设置为禁用,并删除其RUN启项,最后还挂了系统自带的防火墙`` 9、用安全工具(如果能打开)检测宿主模块时,那么它则卸掉自身,安全工具退出(关闭)时,重新注入。 10、"病毒版本":在C:\Program Files和C:\WINNT\system32\DirectX,释放一个.ini的文本,里面生成病毒的版本``我生成的是525,也就是5.25日更新的版本。 11、局域ARP挂马````比较“旁门”的技术(开始有点佩服作者)由外部下载的病毒ycnt9.exe,释放的win1ogo.exe,由它监听局域,每5秒刷新从自身机子(被感染的)经过的ARP数据包,并插入一短Js代码 代码内容为: 12、常驻进程的随机8位数.dll每毫秒刷新,尝试拦截FindWindowExA、mouse_event等信息函数,修改映像命令,发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`(不经过用户操作)`````` |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |