本周15.52版新增153个可查杀病毒,主要包括: WINDOWS下的PE病毒(145);脚本病毒(1);普通文件病毒(7)。
WINDOWS下的PE病毒(145)
1.Worm.Blare
破坏方法:VB写的蠕虫病毒,采用UPX压缩,是一个通过outlook邮件和IRC聊天软件进行传播的病毒。
一旦运行,将禁止使用注册表工具,隐藏任务条,建立自启动键值,同时将使用ping对:
www.number-10.gov.uk发动拒绝服务攻击。病毒将显示下列消息:
Dear Tony Blair,
INFECTED BY: WIN32.SORT-IT-OUT-BLAIR
Why are you spending all our taxes on illegal immigrants!?!
How about you stop worrying about other countries and worry about ours???
Stop spending money on immigrants and spend it on things like OAP's who
fought to keep this country free but are now getting treated worst than illegal
immigrants!
How about spend a little money on the NHS or the education system!?!
Think about it Mr Blair.
Your career depends on it.
We've had enough.
创建一个文本文件到:C:\WIN32.SORT-IT-OUT-BLAIR.TXT,这个文件包含字符串:
Infected by the WIN32.SORT-IT-OUT-BLAIR Virus!
并将其复制到如下目录:
c:\inetpub\wwwroot\default.asp
c:\inetpub\wwwroot\default.htm
c:\inetpub\wwwroot\default.html
c:\inetpub\wwwroot\index.asp
c:\inetpub\wwwroot\index.htm
c:\inetpub\wwwroot\index.html
病毒也将复制自身到如下目录:
c:\Program Files\mIRC\chain_mail_world_record.irc
c:\mIRC\chain_mail_world_record.irc
生成一个IRC脚本到如下目录:
c:\Program Files\mIRC
c:\mIRC
这个脚本用来传播病毒
病毒通过邮件传播时发送的邮件内容为:
标题可能为:
Your Account Infomation.
Your Account is on hold.
Your Account has been suspended.
Account Infomation.
Account Invoice.
Email Account Infomation.
This quaters invoice.
Regards, Support Team.
Account Billing Information.
YOUR ACCOUNT REF:
Account, is on hold.
ORDER CONFIRMATION:
正文为:
Dear Sir,
Please can you check that your account information is up to date.
Your details are attached to this email.
Regards, Billing Team.
Dear Sir,
Please can you confirm that your account information is correct.
Your current details are attached to this email.
Regards, Billing Team.
Dear Sir,
Please find attached this quaters invoice for your Internet Account.
Regards, Billing Team.
Please find your details attached.
Thank you
Details are attached to this email.
Thank you
附件名:
Account Invoice.Doc
Your Account.Doc
Account Details.Doc
Your Account Info.Doc
Account Information.Doc
Billing Information.Doc
Invoice.Doc
Account Update.Doc
Account Status.Doc
Your Account Status.Doc
病毒也能终止大部分流行的反病毒软件HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Task Manager"="c:\progra~1\ACCOUNT_DETAILS.DOC.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
"DisableTaskMgr"="0x00000001 (1)" <隐藏任务条>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
"DisableRegistryTools"="0x00000001 (1)" <禁止使用注册表工具>
2.Worm.Blare.enc
破坏方法:VB写的蠕虫病毒,采用UPX压缩,是一个通过outlook邮件和IRC聊天软件进行传播的病毒。
一旦运行,将禁止使用注册表工具,隐藏任务条,建立自启动键值,同时将使用ping对:
www.number-10.gov.uk发动拒绝服务攻击。病毒将显示下列消息:
Dear Tony Blair,
INFECTED BY: WIN32.SORT-IT-OUT-BLAIR
Why are you spending all our taxes on illegal immigrants!?!
How about you stop worrying about other countries and worry about ours???
Stop spending money on immigrants and spend it on things like OAP's who
fought to keep this country free but are now getting treated worst than illegal
immigrants!
How about spend a little money on the NHS or the education system!?!
Think about it Mr Blair.
Your career depends on it.
We've had enough.
创建一个文本文件到:C:\WIN32.SORT-IT-OUT-BLAIR.TXT,这个文件包含字符串:
Infected by the WIN32.SORT-IT-OUT-BLAIR Virus!
并将其复制到如下目录:
c:\inetpub\wwwroot\default.asp
c:\inetpub\wwwroot\default.htm
c:\inetpub\wwwroot\default.html
c:\inetpub\wwwroot\index.asp
c:\inetpub\wwwroot\index.htm
c:\inetpub\wwwroot\index.html
病毒也将复制自身到如下目录:
c:\Program Files\mIRC\chain_mail_world_record.irc
c:\mIRC\chain_mail_world_record.irc
生成一个IRC脚本到如下目录:
c:\Program Files\mIRC
c:\mIRC
这个脚本用来传播病毒
病毒通过邮件传播时发送的邮件内容为:
标题可能为:
Your Account Infomation.
Your Account is on hold.
Your Account has been suspended.
Account Infomation.
Account Invoice.
Email Account Infomation.
This quaters invoice.
Regards, Support Team.
Account Billing Information.
YOUR ACCOUNT REF:
Account, is on hold.
ORDER CONFIRMATION:
正文为:
Dear Sir,
Please can you check that your account information is up to date.
Your details are attached to this email.
Regards, Billing Team.
Dear Sir,
Please can you confirm that your account information is correct.
Your current details are attached to this email.
Regards, Billing Team.
Dear Sir,
Please find attached this quaters invoice for your Internet Account.
Regards, Billing Team.
Please find your details attached.
Thank you
Details are attached to this email.
Thank you
附件名:
Account Invoice.Doc
Your Account.Doc
Account Details.Doc
Your Account Info.Doc
Account Information.Doc
Billing Information.Doc
Invoice.Doc
Account Update.Doc
Account Status.Doc
Your Account Status.Doc
病毒也能终止大部分流行的反病毒软件HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Task Manager"="c:\progra~1\ACCOUNT_DETAILS.DOC.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
"DisableTaskMgr"="0x00000001 (1)" <隐藏任务条>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
"DisableRegistryTools"="0x00000001 (1)" <禁止使用注册表工具>
3.Trojan.Win32.Avkillah.10
破坏方法:这个病毒驻留内存,遍历进程,终止反病毒软件。终止下列反病毒软件:
ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
NAVAPW32.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
UPDATE.EXE
AUTOUPDATE.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
SYSEDIT.EXE
NSCHED32.EXE
CLEANER.EXE
MOOLIVE.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
SS3EDIT.EXE
UPDATE.EXE
ANTI-TROJAN.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
WGFE95.EXE
POPROXY.EXE
NPROTECT.EXE
VSSTAT.EXE
VSHWIN32.EXE
NDD32.EXE
MCAGENT.EXE
MCUPDATE.EXE
AVPCC.EXE
AVPM.EXE
WATCHDOG.EXE
TAUMON.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
AVCONSOL.EXE
WEBSCANX.EXE
VSECOMR.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVP.EXE
PCCIOMON.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
FRW.EXE
BLACKICE.EXE
BLACKD.EXE
WRCTRL.EXE
WRADMIN.EXE
WRCTRL.EXE
CLEANER3.EXE
PCFWALLICON.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
NVARCH16.EXE
MSSMMC32.EXE
PERSFW.EXE
VSMAIN.EXE
LUALL.EXE
LUCOMSERVER.EXE
NAVW32.EXE
AVSYNMGR.EXE
TRJSCAN.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC42.EXE
VPTRAY.EXE
PAVPROXY.EXE
APVXDWIN.EXE
AGENTSVR.EXE
FSAV.EXE
NETSTAT.EXE
MGUI.EXE
MSCONFIG.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
4.Trojan.Junksurf.Adware
破坏方法:可以连接到许多色情网站的广告组件。MS VC++编写,包含许多连接到色情网站的链接。并能够释放病毒“Trojan.Junksurf.RegSet”
它修改IE 的jome page并重定向到站点:
http://www.***.com/
它创建下列文件夹<色情网站的链接>
%WINDIR%\Desktop\Adult Entertainment
%WINDIR%\Desktop\Casinos & Gambling
%WINDIR%\Desktop\Find a date
%WINDIR%\Favorites\Adult Entertainment
%WINDIR%\Favorites\Casinos & Gambling
%WINDIR%\Favorites\Find a date
%WINDIR%\Favorites\Search The Net
%WINDIR%\Start Menu\Adult Entertainment
%WINDIR%\Start Menu\Casinos & Gambling
%WINDIR%\Start Menu\Find a date
%WINDIR%\Start Menu\Programs\Adult Entertainment
%WINDIR%\Start Menu\Programs\Casinos & Gambling
%WINDIR%\Start Menu\Programs\Find a date
%WINDIR%\Start Menu\Programs\Search The Net
%WINDIR%\Start Menu\Venusseek
C:\Documents and Settings\\Desktop\
C:\Documents and Settings\\Desktop\Adult Entertainment\
C:\Documents and Settings\\Desktop\Casinos & Gambling\
其中UserName为当前用户
该病毒还在桌面创建下列链接:
Adult Search.lnk
Erotic Search.lnk
Web Search.lnk
5.Trojan.Assasin.20.c.Client
破坏方法:木马“刺客II”的客户端及服务端生成工具这是国外的木马“刺客II”的服务端,与其客户端连接后,可实现如下功能:
1,使用进程插入技术,注入到设置好的4个进程中[随机]。
2,木马的功能,比如:注册表编辑功能,窗口隐藏,窗口销毁,进程杀死、文件操作等等。
3,系统信息收集功能,IE浏览器历史查看和修改。文件管理、可以上传下载,可实时修改被控端的设置。
4,恶作剧功能
5,可以开启WEB服务,FTP服务,代理服务,射象头监视和端口重定向功能!
6,可以盗用户信息,能够进行键盘记录,自定义记录窗口和标题,可以实时的键盘输入查看,支持记录IE浏览器记录!
6.Trojan.Assasin.20.c
破坏方法:木马“刺客II”的服务端这是国外的木马“刺客II”的服务端,与其客户端连接后,可实现如下功能:
1,使用进程插入技术,注入到设置好的4个进程中[随机]。
2,木马的功能,比如:注册表编辑功能,窗口隐藏,窗口销毁,进程杀死、文件操作等等。
3,系统信息收集功能,IE浏览器历史查看和修改。文件管理、可以上传下载,可实时修改被控端的设置。
4,恶作剧功能
5,可以开启WEB服务,FTP服务,代理服务,射象头监视和端口重定向功能!
6,可以盗用户信息,能够进行键盘记录,自定义记录窗口和标题,可以实时的键盘输入查看,支持记录IE浏览器记录!
7.Trojan.Assasin.20.b
破坏方法:木马“刺客II”的服务端这是国外的木马“刺客II”的服务端,与其客户端连接后,可实现如下功能:
1,使用进程插入技术,注入到设置好的4个进程中[随机]。
2,木马的功能,比如:注册表编辑功能,窗口隐藏,窗口销毁,进程杀死、文件操作等等。
3,系统信息收集功能,IE浏览器历史查看和修改。文件管理、可以上传下载,可实时修改被控端的设置。
4,恶作剧功能
5,可以开启WEB服务,FTP服务,代理服务,射象头监视和端口重定向功能!
6,可以盗用户信息,能够进行键盘记录,自定义记录窗口和标题,可以实时的键盘输入查看,支持记录IE浏览器记录!
8.Trojan.PSW.VB.as
破坏方法:这个病毒窃取用户密码,试图发送出去。
病毒试图连接下列网址
http://www.****.net/post/post.cgi?pass=smsskils&cmd=post&title=Aim Passwords
病毒试图使用的代理服务器:
vtot.proxy.aol.com:11523
vtot.proxy.aol.com:80
vip-wi.proxy.aol.com:11523
vip-wi.proxy.aol.com:80
spider-wi062.proxy.aol.com:11523
spider-wi062.proxy.aol.com:80
9.Trojan.Junksurf.RegSet
破坏方法:病毒组件这是病毒的一个组件,用来修改注册表,将IE的默认页设为"http://www.***.com/",
修改IE的TOOLBAR配置,并将自己设为自启动HKCU\Software\Microsoft\Internet Explorer\Main
"http://www.***.com/"
HKCU\Software\Microsoft\Windows\CurrentVersion\runonce
"win32"="c:\program files\winsrv32.exe"
10.Trojan.yulihuBot.10
破坏方法:此病毒是一个远程控制的木马程序,启动后将自己安装到系统目录下.自启动,在后台隐藏运行.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UpData C:\WINNT\System32\wupdata.exe
HKEY_CLASSES_ROOT\Txtfile\shell\open\command
Default C:\WINNT\System32\iisinfo.exe "%1"
11.Trojan.yulihuBot.10.enc
破坏方法:此病毒是一个远程控制的木马程序,启动后将自己安装到系统目录下.自启动,在后台隐藏运行.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UpData C:\WINNT\System32\wupdata.exe
HKEY_CLASSES_ROOT\Txtfile\shell\open\command
Default C:\WINNT\System32\iisinfo.exe "%1"
12.TrojanDownLoader.Junksurf
破坏方法:下载器这是一个文件下载器,运行后将从指定网站下载一个文件并使用regsvr32.exe注册为服务。
下载地址及文件名为:"http://63.246.130.*/surferbar.dll"
下载后保存的目录及文件名为:"c:\Program Files\win32.dll"
注册服务的命令为:
regsvr32 /s win32.dll
文件:"win32.dll"是一个广告软件
13.Trojan.ZIP.Fakecmos
破坏方法:在系统目录下修改AUTOEXEC.BAT文件,并生成两个批处理文件,文件名分别是VIR1.BAT,VIR2.BAT。(
病毒作者本意是让这两个文件相互调用!当用户启动系统时,系统就会死循环地运行这两个文件,从而
影响用户的正常工作!)该病毒程序在生成批处理文件时有BUG,不会给用户造成影响!
14.Trojan.SuperWay.h.enc
破坏方法:启动后将自己安装到Windows目录下
此病毒还会将自己分别拷贝到 d盘根目录和e盘根目录下并且生成一个相应的Autorun.inf文件,当用户双击鼠标记录d 或e盘时就会将病毒文件启动。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMontier
15.Trojan.SuperWay.h
破坏方法:启动后将自己安装到Windows目录下
此病毒还会将自己分别拷贝到 d盘根目录和e盘根目录下并且生成一个相应的Autorun.inf文件,当用户双击鼠标记录d 或e盘时就会将病毒文件启动。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMontier
16.Trojan.Win32.AVKill.cc
破坏方法:这个程序释放7个病毒
Trojan.Lithium.103.enc
Trojan.Litmus.II
Trojan.Lithium.srv_funstuff.enc
Trojan.Lithium.srv_multimedia.enc
Trojan.Lithium.srv_portscan.enc
Trojan.Lithium.srv_pwinfo.enc
Trojan.Lithium.103.dll
17.Trojan.Win32.AVKill.cc.enc
破坏方法:这个程序释放7个病毒
Trojan.Lithium.103.enc
Trojan.Litmus.II
Trojan.Lithium.srv_funstuff.enc
Trojan.Lithium.srv_multimedia.enc
Trojan.Lithium.srv_portscan.enc
Trojan.Lithium.srv_pwinfo.enc
Trojan.Lithium.103.dll
18.Trojan.PSW.VB.w
破坏方法:1.读取用户内存中的密码和C:\WINDOWS\*.pwl中用户密码,发送到tech2001@getfreeinternet.co.uk。
2.连接远程http和ftp服务器,下载另一个病毒到本地,命名为image.gif。
19.Trojan.PSW.VB.x
破坏方法:1.读取用户内存中的密码和C:\WINDOWS\*.pwl中用户密码,发送到tech2001@getfreeinternet.co.uk。
2.连接远程http和ftp服务器,下载另一个病毒到本地,命名为image.gif。
20.Trojan.PSW.Neter
破坏方法:病毒登记为自启动,隐藏在后台,
搜索下列窗口
AOL Frame25
MDIClient
AOL Child
取得用户密码。
21.Trojan.PSW.VB.ab
破坏方法:病毒登记为自启动,隐藏在后台,
搜索下列窗口
AOL Frame25
MDIClient
AOL Child
取得用户密码。
22.Trojan.spy.sckeylog.20.b
破坏方法:此病毒启动后再后台隐藏运行并且记录用户的键盘操作,将记录到的信息通过邮件外发出去,或记录到文件中.
23.Trojan.getoicq.72
破坏方法:这是一个盗取ociq密码的木马病毒。该病毒通过挂hook方式截取用户输入的密码并将它发送到指定信箱。
24.Trojan.Beast.200.f
破坏方法:木马“Trojan.Beast”的服务端此病毒使用进程注入技术,将病毒注入到系统其它进程空间里。
25.Trojan.Oicqsearch.165
破坏方法:木马服务端配置器。可以动态配置要监视窗口的标题,并将截取的密码发送到指定的信箱。
26.Trojan.Huigezi.qs2003
破坏方法:远程控制木马,启动后将自己安装到系统目录下,在后台隐藏运行,开一个UDP端口进行监听。
27.Trojan.Huigezi.2003C
破坏方法:远程控制木马,启动后将自己安装到系统目录下,在后台隐藏运行,开一个UDP端口进行监听。
28.Hack.Lanxxue.3pro
破坏方法:蓝雪攻击者V3.00 PRO
使目标主机瞬间死机重启,
传说攻击网吧及网吧内攻击效果90%以上
29.Trojan.PSW.QQSpy7005.b
破坏方法:启动后将自己安装到系统目录下,在后台隐藏运行,窃取用户密码并发送到指定的邮箱内.
30.Trojan.PSW.QQSpy7005.b.enc
破坏方法:启动后将自己安装到系统目录下,在后台隐藏运行,窃取用户密码并发送到指定的邮箱内.
31.Trojan.Spy.Win32.Coiboa.b
破坏方法:Trojan.Spy.Win32.Coiboa的服务端,驻留
内存接受并执行客户端传来的控制命令。
32.Trojan.Spy.Win32.Coiboa.c
破坏方法:Trojan.Spy.Win32.Coiboa的服务端,驻留
内存接受并执行客户端传来的控制命令。
33.Trojan.JiangJun
破坏方法:这是一个木马病毒。拷贝自己到c:\winNT32.exe,登记为自启动。接收远程控制命令
34.Trojan.JiangJun.enc
破坏方法:这是一个木马病毒。拷贝自己到c:\winNT32.exe,登记为自启动。接收远程控制命令
35.Trojan.Spy.ProAgent.10.hook
破坏方法:这是木马Trojan.Spy.ProAgent.10使用的挂结键盘钩子,并保存到文件的dll文件
36.Trojan.WebMoney.SendWM
破坏方法:这个病毒驻留内存,登记为自启动,会调用
command.com /c del 删除系统文件
37.Trojan.WebMoney.SendWM.enc
破坏方法:这个病毒驻留内存,登记为自启动,会调用
command.com /c del 删除系统文件
38.Trojan.PSW.QQSpy7005.b.config
破坏方法:病毒 Trojan.PSW.QQSpy7005 的配置程序,可以配置病毒外发邮件的邮箱等信息.
39.Trojan.PSW.QQSpy7005.b.config.enc
破坏方法:病毒 Trojan.PSW.QQSpy7005 的配置程序,可以配置病毒外发邮件的邮箱等信息.
40.Trojan.PSW.QQSpy7005.config
破坏方法:病毒 Trojan.PSW.QQSpy7005 的配置程序,可以配置病毒外发邮件的邮箱等信息.
41.Trojan.PSW.QQSpy7005.config.enc
破坏方法:病毒 Trojan.PSW.QQSpy7005 的配置程序,可以配置病毒外发邮件的邮箱等信息.
42.Trojan.Spy.Win32.KBMan
破坏方法:Trojan.Spy.Win32.KBMan的服务端程序,驻留内存接受客户端传来的控制命令。
43.Trojan.Spy.Win32.Outside.11
破坏方法:Trojan.Spy.Win32.Outside的配制生成器。可以依据配置信息生成服务端。
44.Trojan.Spy.Win32.Outside.11.enc
破坏方法:Trojan.Spy.Win32.Outside的配制生成器。可以依据配置信息生成服务端。
45.Trojan.Keylogger.13
破坏方法:这是记录键盘的木马,驻留内存,登记为自启动。还会重新启动用户机器。
46.Trojan.Keylogger.13.enc
破坏方法:这是记录键盘的木马,驻留内存,登记为自启动。还会重新启动用户机器。
47.Trojan.Downloader.Win32.Greetyah.c
破坏方法:一个自动下载器,病毒运行后自动从指定网站将后门程序下载下来运行。
48.Trojan.Downloader.Win32.Small.v
破坏方法:一个自动下载器,病毒运行后自动从指定网站将后门程序下载下来运行。
49.Trojan.Downloader.Win32.Bacine.b
破坏方法:一个自动下载器,病毒运行后自动从指定网站将后门程序下载下来运行。
50.Trojan.PSW.RedZone.50
破坏方法:驻留内存,试图连接邮件服务器,把用户的密码发送到kratos2@mail.ru
51.Trojan.PSW.RedZone.50.enc
破坏方法:驻留内存,试图连接邮件服务器,把用户的密码发送到kratos2@mail.ru
52.Trojan.PSW.VB.ar
破坏方法:这是窃取用户美国在线密码的木马。
病毒疯狂的搜索AOL的窗口。
53.Trojan.PSW.VB.ar.enc
破坏方法:这是窃取用户美国在线密码的木马。
病毒疯狂的搜索AOL的窗口。
54.Backdoor.Avstral.a
破坏方法:后门,运行后将监听TCP端口,等待远程连接,安装钩子,记录键盘
55.Trojan.KeyLogger.12
破坏方法:这是记录用户键盘操作来取得用户密码信息,并发送到指定邮箱。
56.Trojan.Spy.Win32.KeyLogger.d
破坏方法:一个键盘记录器的服务端程序。负责记录下
键盘击键动作。
57.Trojan.Spy.Win32.KeyLogger.h
破坏方法:一个键盘记录器的服务端程序。负责记录下
键盘击键动作。
58.Trojan.Spy.Win32.KeyLogger.o
破坏方法:一个键盘记录器的服务端程序。负责记录下
键盘击键动作。
59.Trojan.Spy.Win32.KeyLogger.q
破坏方法:一个键盘记录器的服务端程序。负责记录下
键盘击键动作。
60.Trojan.Spy.Win32.KeyLogger.q.enc
破坏方法:一个键盘记录器的服务端程序。负责记录下
键盘击键动作。
61.Backdoor.Avstral.a.dll
破坏方法:病毒“Backdoor.Avstral.a”使用的动态连接库文件<钩子>
62.Trojan.PSW.VB.v
破坏方法:这个病毒驻留内存,查找aol程序主窗口,试图取得密码。
63.Trojan.Beast.200.f.dll
破坏方法:木马“Trojan.Beast”的服务端使用的动态连接库文件
64.Trojan.spy.sckeylog.20.b.dll
破坏方法:病毒 Trojan.spy.sckeylog.20.b 的附属动态库文件.
65.Trojan.SuperWay.h.dll
破坏方法:病毒“Trojan.SuperWay.h”用来盗密码的DLL文件
66.Trojan.Beast.201.b.dll
破坏方法:木马“Trojan.Beast”的使用的动态连接库文件
67.Trojan.Beast.201.c1.dll
破坏方法:木马“Trojan.Beast”的使用的动态连接库文件
68.Backdoor.Armageddon.10.Client
破坏方法:后门:Armageddon v1.0 的配置攻击+客户端
69.Trojan.Spy.Win32.Taskplaner.b
破坏方法:Trojan.Spy.Win32.Taskplaner的服务端程序
70.Trojan.Spy.Win32.MetaCheat
破坏方法:Trojan.Spy.Win32.MetaCheat的服务端程序
71.Trojan.PSW.VB.at
破坏方法:这是取得windows 2000下用户密码的工具。
72.Trojan.Spy.Win32.SpyAgent.Dll
破坏方法:Trojan.Spy.Win32.SpyAgent的程序组件。
73.Trojan.Spy.Win32.Etnup
破坏方法:Trojan.Spy.Win32.Etnup的服务端程序。
74.Trojan.Spy.Win32.Excon
破坏方法:Trojan.Spy.Win32.Excon的服务端程序。
75.Trojan.Spy.Win32.Excon.enc
破坏方法:Trojan.Spy.Win32.Excon的服务端程序。
76.Trojan.Win32.AddShare.e
破坏方法:这是一个木马病毒,完全共享a到z的磁盘
77.Trojan.Win32.VirusWizard.b
破坏方法:Trojan.Win32.VirusWizard的程序组件。
78.Trojan.Win32.AddShare.e.enc
破坏方法:这是一个木马病毒,完全共享a到z的磁盘
79.Trojan.Spy.Win32.Snag.02
破坏方法:Trojan.Spy.Win32.Snag的服务端程序。
80.Trojan.Spy.Win32.Czad
破坏方法:Trojan.Spy.Win32.Czad的服务端程序。
81.Worm.Neroma.b
破坏方法:Worm.Neroma的变种。参见Worm.Neroma
82.Worm.Neroma.b.enc
破坏方法:Worm.Neroma的变种。参见Worm.Neroma
83.Trojan.HuiGeZi.61.dll.bot
破坏方法:包含病毒"Trojan.HuiGeZi.61.dll"
84.Trojan.Beast.201.c1
破坏方法:木马“Trojan.Beast”的服务端
85.Trojan.Beast.201.c2
破坏方法:木马“Trojan.Beast”的服务端
86.Trojan.Beast.201.c2.enc
破坏方法:木马“Trojan.Beast”的服务端
87.Trojan.Beast.201.c3
破坏方法:木马“Trojan.Beast”的服务端
88.Trojan.Beast.201.c3.enc
破坏方法:木马“Trojan.Beast”的服务端
89.Trojan.Beast.201.b2
破坏方法:木马“Trojan.Beast”的服务端
90.Trojan.Beast.201.b1
破坏方法:木马“Trojan.Beast”的服务端
91.Trojan.PSW.Rapass
破坏方法:这个木马取得用户内存里的密码
92.Trojan.PSW.RedZone.301
破坏方法:这是一个木马病毒的配置工具。
93.Trojan.PSW.RedZone.301.enc
破坏方法:这是一个木马病毒的配置工具。
94.Trojan.BO2K.13.Cfg
破坏方法:木马“BO2K”的服务端配置工具
95.Trojan.BO2K.11.d.Cfg
破坏方法:木马“BO2K”的服务端配置工具
96.Trojan.ZeroBC.10.Client
破坏方法:这是一个远程控制工具的客户端
97.Backdoor.Armageddon.10
破坏方法:后门:Armageddon v1.0 服务端
98.Trojan.BO2K.13.XP.Client
破坏方法:木马“BO2K”的控制台客户端
99.Trojan.Psw.Tnit
破坏方法:一个盗取密码的木马病毒。
100.Trojan.Psw.Tnit.enc
破坏方法:一个盗取密码的木马病毒。
101.Trojan.BO2K.11.d.Client
破坏方法:木马“BO2K”的客户端工具
102.Trojan.ZeroBC.10.Server
破坏方法:这是远程控制工具的服务器
103.Trojan.Win32.Chicons
破坏方法:这个病毒显示一张色情图片
104.Trojan.Win32.Chicons.enc
破坏方法:这个病毒显示一张色情图片
105.Worm.Agobot.s
破坏方法:蠕虫“Worm.Agobot”变种
106.Worm.Agobot.s.enc
破坏方法:蠕虫“Worm.Agobot”变种
107.Worm.Agobot.t
破坏方法:蠕虫“Worm.Agobot”变种
108.Worm.Agobot.t.enc
破坏方法:蠕虫“Worm.Agobot”变种
109.Worm.Agobot.u
破坏方法:蠕虫“Worm.Agobot”变种
110.Worm.Agobot.u.enc
破坏方法:蠕虫“Worm.Agobot”变种
111.Trojan.Spy.ProAgent.10.crss
破坏方法:这是记录键盘操作的木马
112.Trojan.Spy.ProAgent.10.crss.enc
破坏方法:这是记录键盘操作的木马
113.Trojan.Lithium.103.dll
破坏方法:这是木马使用的dll文件
114.Trojan.Lithium.103.dll.enc
破坏方法:这是木马使用的dll文件
115.Trojan.BO2K.11.d
破坏方法:木马“BO2K”的服务端
116.Trojan.BO2K.13
破坏方法:木马“BO2K”的服务端
117.Trojan.BO2K.13.Client
破坏方法:木马“BO2K”的客户端
118.Trojan.WebMoney.DoubleWM.i
破坏方法:这是一个木马病毒。
119.Trojan.WebMoney.CrackWM.14.b
破坏方法:这是一个木马病毒。
120.Trojan.KeyLogger.12.hook
破坏方法:病毒使用的dll文件
121.Trojan.KeyLogger.12.web
破坏方法:病毒使用的dll文件
122.Trojan.WebMoney.DoubleWM.j
破坏方法:这是一个木马病毒
123.Trojan.WebMoney.DoubleWM.k
破坏方法:这是一个木马病毒
124.Trojan.WebMoney.DoubleWM.l
破坏方法:这是一个木马病毒
125.Trojan.WebMoney.Delf.b
破坏方法:这是一个木马病毒
126.Trojan.Win32.ColdFusion
破坏方法:这是个木马病毒
127.Trojan.Win32.ColdFusion.enc
破坏方法:这是个木马病毒
128.Exploit.WebMoney.Delf.c
破坏方法:溢出工具
129.Trojan.Assasin.20F.ser.enc
破坏方法:
130.Trojan.Assasin.20F.enc
破坏方法:
131.Trojan.Oicqsearch.165.enc
132.Trojan.Clicker.Win32.Delf.f
133.Trojan.Clicker.Win32.Delf.f.enc
134.Trojan.Clicker.Win32.Gpix
135.Trojan.Clicker.Win32.Gpix.enc
136.Trojan.Clicker.Win32.Scorpech.m
137.Trojan.Clicker.Win32.Sharker.b
138.Trojan.Clicker.Win32.Sharker.b.enc
139.Trojan.Clicker.Win32.Stixo
140.Trojan.Clicker.Win32.VB.l
141.Trojan.Clicker.Win32.VB.o
142.Trojan.Spy.Win32.Delf.l
143.Trojan.Spy.Win32.Delf.l.enc
144.Trojan.Notifier.Win32.Delf.b
145.Trojan.Notifier.Win32.Delf.b.enc
脚本病毒(1)
146.VBS.Dropper.Junksurf
破坏方法:VBS脚本病毒这个VBS脚本病毒可能来自恶意网站或邮件附件,一旦运行,将释放一个文件:DRG.EXE到c:\下并退出;
文件:DRG.EXE是病毒:TrojanDropper.Junksurf,此病毒将从指定网站下载一个广告组件,并注册执行
普通文件病毒(7)
147.Trojan.Dsrftn.a
破坏方法:
启动方式:
1.病毒从注册表启动,相关注册表键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KeyValue
"%CURDIR%\%CURFILE%"
其中KeyValue为下列值:RPCSS、NAVSVC、POINTER、LiveUpdate、JDBGMGR、CSRSS、LSASS
NAV Agent、Task Manager、Synchronization Manager,这些值随机出现
2.病毒以计划服务方式启动
病毒行为:
病毒创建25个线程以用户名:Administrator、Guest、Root、admin、user、wwwadmin、test
密码:admin、pass、root、wwwadmin、administrator、user、sql、sqlcomputer、sqlserver、
123、1234、123456、password、passwd、test试图登陆这些机器,如果成功则将病毒复制到系统
目录下%SYSDIR%,并以计划服务方式将其启动,病毒大量占用系统资源,使机器
速度变慢
148.Trojan.FormatCQ.b
破坏方法:Windows下的碎片文件,此文件中可以包含一些破坏性的命令,当用户双击此文件时系统就会将其中的命令执行,此病毒文件中包含的命令是 format C:/q/autotest /u
149.Trojan.Win32.Delf.h
破坏方法:这是个木马病毒。
拷贝自己到系统目录,命名为TSTSVR
登记为自启动。
150.Trojan.getoicq.dll
破坏方法:Trojan.getoicq的hook函数部份。负责截取
用户的密码。
151.Junk.PSW.PerfectBase
破坏方法:这个自解压程序里面包含病毒Trojan.KeyLogger.12
152.Exploit.Applet.AtiveXComponent
153.Junk.Worm.Sobig.f
