17.10.40版新增96个可查杀病毒,主要包括: WINDOWS下的PE病毒(85);脚本病毒(1);普通文件病毒(10);
WINDOWS下的PE病毒(85)
1.Backdoor.Rbot.aif
破坏方法:Rbot病毒变种。是一种IRC后门。集黑客,蠕虫,后门功能于一体。
通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典,用户如不注意设定密码则系统很容易被攻破。
一、文件
将自己复制到系统目录下,文件名为“glsupport-v13.exe”,属性设置为隐藏、系统、只读。在系统默认设置下,用户看不到病毒文件。
二、注册表
1。在下列键添加启动项“glDriver-v1.3”使病毒随Windows的启动而自动运行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
每隔60秒钟,病毒添加一次,防止用户删除。
2。修改系统设置
HKLM\Software\Microsoft\OLE\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 0x1
三、病毒创建名称为"xx<"的互斥量防止自己重复运行。
四、监听本地113号TCP端口,等待连接,实现后门功能。
五、连接特定IRC服务器的特定频道(project.stormgsi.net 的 42420 端口),接受黑客控制,发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。建立通讯后,接收远程控制命令。
1. 偷用户正版游戏的序列号。
Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life
2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
3. 记录键盘输入。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
4. 发动SYN 攻击,造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
6. 终止系统的进程和线程。
2.Backdoor.Wootbot.eu
破坏方法:IRC后门程序
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"IEXPLORER.EXE"。
二、修改注册表以下键值以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据:"USB2" 数据值为:"IEXPLORER.EXE"
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
增加数据:"USB2" 数据值为:"IEXPLORER.EXE"
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
增加数据:"USB2" 数据值为:"IEXPLORER.EXE"
4.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunOnce
增加数据:"USB2" 数据值为:"IEXPLORER.EXE"
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\RunOnce
增加数据:"USB2" 数据值为:"IEXPLORER.EXE"
三、将自己注册为服务进程,服务名为"FireDaemon",服务显示名称为"USB2"。
四、结束系统中以下进程:
"EXESPY"、"WXR95"、"REGMON"、"FILE MONITOR"、"REGMONEX"、
"WINDOW DETECTIVE"、"DEBUGVIEW"、"RESSPY"、"ADVANCED
REGISTRY TRACER"、"REGSNAP"、"EMSPY"、"MEMORY DOCTOR"、
"PROCDUMP32"、"MEMORY EDITOR"、"FROGSICE"、
"SMU WINSPECTOR"、"MEMORY DUMPER"、"MEMORYMONITOR"、
"NUMEGA SOFTICE LOADER"、"URSOFT W32DASM"、"-=CHINA CRACKING GROUP=-"、"OllyDbg"、"TRW2000"
删除系统中以下服务:
"SICE"、"NTICE"、"NTICE7871"、"NTICED052"、"TRWDEBUG"、"TRW"、
"TRW2000"、"SUPERBPM"、"ICEDUMP"、"REGMON"、"FILEMON"、
"REGVXD"、"FILEVXD"、"VKEYPROD"、"BW2K"、"SIWDEBUG"
五、连接指定的IRC服务器,并以特定的昵称加入指定的聊天频道,为其控制端提供以下远程控制服务:
1.对指定IP的计算机进行拒绝服务攻击;
2.下载指定的文件到本地运行;
3.关闭本地计算机;
4.获取本地计算机信息;
5.控制本地计算机进程;
6.窃取某些指定的游戏软件的CD_KEY。
3.Trojan.MiFen.h
破坏方法:这是一个盗取用户信息的木马:“密蜂大盗”
该病毒行为如下:
1。复制多份到系统目录下,文件扩展名多为.scr,比如:
C:\WINNT\system\services.exe
C:\WINNT\System32\logon.scr
C:\WINNT\System32\scrnsave.scr
C:\WINNT\System32\ss3dfo.scr
C:\WINNT\System32\ssbezier.scr
C:\WINNT\System32\ssflwbox.scr
C:\WINNT\System32\ssmarque.scr
C:\WINNT\System32\ssmaze.scr
C:\WINNT\System32\ssmyst.scr
C:\WINNT\System32\sspipes.scr
C:\WINNT\System32\ssstars.scr
2。修改系统注册表:
HKCU\Control Panel\Desktop\ScreenSaveActive = "1" -〉激活屏幕保护
HKCU\Control Panel\Desktop\ScreenSaverIsSecure = "0"
HKCU\Control Panel\Desktop\ScreenSaveTimeOut = "60"
HKCU\Control Panel\Desktop\SCRNSAVE.EXE = "C:\WINNT\System32\sstext3d.scr" -〉指向病毒
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"internet" = "C:\WINNT\system\services.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe C:\WINNT\system\services.exe"
HKCR\txtfile\shell\open\command
(Default) = ""C:\WINNT\system\services.exe" "%1""
3。病毒将终止包含如下字眼的进程的运行:
防火墙
实时监
病毒监
病毒控
firewall
fire wall
antiviru
4。能够盗取大量如 QQ 类的登陆信息
4.Trojan.Lmir.Whboy.ae
破坏方法:武汉男生木马。
搜集他人帐号密码等私人信息,并发送到指定邮箱。
病毒采用Delphi编写,UPX压缩,使用madCodeHook控件进行远程注入,在windows 平台都能注入运行。病毒运行后有以下破坏行为:
一、将自己复制为以下几个文件:
1.%SYSDIR%\msapi.exe
2.%SYSDIR%\snet.exe
释放文件名为"msapi.dll"的动态库到%SYSDIR%目录下。
病毒使用窗口“WhBoy_Dll”作为运行标记,防止自身重复运行。
二、搜索"Explorer.exe"进程,通过修改"Explorer.exe"进程地址空间创建远程
线程的方式,在"Explorer.exe"进程中创建一个用于装载"msapi.dll"动态库的
线程。
三、修改系统文件"SYSTEM.INI"的以下数据以达到自启动的目的:
1.[BOOT]
修改数据项:"SHELL" 设置数据:"%SYSDIR%\msapi.exe"
四、查找并结束以下反病毒软件、防火墙软件的进程:
1.Symantec AntiVirus 企业版
2.江民杀毒软件 KV2004:实时监视
3.RavMon.exe
4.ZoneAlarm
5.天网防火墙个人版
6.天网防火墙企业版
7.密码防盗
8.绿鹰PC
9.QQ病毒专杀工具
10.噬菌体
11.木马克星
11.Iparmor.exe
12.MAILMON.EXE
13.KAVPFW.EXE
并卸载"密码防盗专家 综合版"。
五、获取用户游戏下列信息发送到指定的邮箱内。
用户信息:
区 域:
服务器:
用 户:
密 码:
密 宝:
角 色:
机器名:
IP地址:
5.Trojan.PSW.LMir.aba
破坏方法:窃取密码的木马病毒
病毒采用Delphi编写,"Aspack"压缩。
病毒运行后有以下行为:
一、将自己复制到%WINDIR%目录和%SYSDIR%目录下,文件名分别为"INTRENAT.EXE"和"WINSOCKS.DLL"。
二、修改注册表以下键值:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:"Intrenat" 数据值为:"%WINDIR%\INTRENAT.EXE"
2.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices 增加数据项:"Intrenat" 数据值为:"%WINDIR%\INTRENAT.EXE"
三、查杀以下反病毒软件和防火墙程序:
"RavMon"
"天网防火墙个人版"
"天网防火墙企业版"
"木马克星"
"噬菌体"
"ZoneAlarm"
"EGHOST.EXE"
"MAILMON.EXE"
"KAVPFW.EXE"
四、搜索游戏"传奇"客户端程序,并记录以下信息:
"区域"
"用户名"
"密码"
"服务器"
"物品信息"
并将这些信息发送到指定的邮箱。
6.Trojan.PSW.LMir.aay
破坏方法:该病毒是一个盗取游戏:"传奇"信息的木马
该病毒行为如下:
1.释放一个动态连接库文件到系统目录:
%SYSDIR%\cq0dll.dll
2.修改注册表字启动项以使自己能随系统自启动
3.病毒能够终止下列反病毒软件的运行:
PasswordGuard.exe
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
噬菌体
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
等等
4.该病毒盗取游戏“传奇”的下列信息:
服务器
户名
密码
角色
物品
IP
机器名
病毒盗取上述信息后将发往指定的邮箱地址
7.Adware.Sahagent.a
破坏方法:这是一个广告软件,没有大的危害,但占用系统资源,且难以手动清除。
程序运行后释放文件bundle.exe到临时目录下,并运行它。
并写注册表项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SAHBundle :文件名使bundle.exe能开机自启动。
建立注册表子键HKLM\SOFTWARE\VGroup,存储跟程序相关的一些信息。
8.Backdoor.Peep.a
破坏方法:该病毒是一个后门病毒
其功能如下:
逆向连接其客户端,成功后可以:自动更新、下载、DDos攻击、取受感染机器的信息、关机、文件改名等操作。
9.Hack.Icedoor.a
破坏方法:黑客工具,通过IPC方式安装自己到远程机器并监听指定端口,相当于打开远程shell。
10.Backdoor.Rbot.aid
破坏方法:Rbot病毒变种,一种IRC后门。
11.Backdoor.Rbot.aig
破坏方法:Rbot变种,一个IRC蠕虫。
12.Trojan.PSW.LMir.abb
破坏方法:偷传奇密码的木马。
13.Trojan.Win32.StartPage.ql
破坏方法:木马,修改IE主页。
14.TrojanDownloader.Win32.Agent.du
破坏方法:病毒下载器。
15.TrojanDropper.Win32.Small.nw
16.Trojan.FavAdd.a
17.TrojanDownloader.Small.vo
18.Backdoor.Wootbot.ew
19.Trojan.Win32.VB.pe
20.Backdoor.Wootbot.ev
21.Trojan.Win32.StartPage.qg
22.Trojan.Win32.StartPage.qj
23.Trojan.Win32.StartPage.qm
24.Trojan.Win32.StartPage.qp
25.Trojan.Win32.StartPage.qq
26.Trojan.Win32.StartPage.qu
27.Trojan.Win32.StartPage.qx
28.Trojan.Win32.StartPage.qy
29.Trojan.Win32.StartPage.qz
30.Trojan.Win32.StartPage.ra
31.Backdoor.Win32.Chpok.44
32.Worm.Agobot.3.vl
33.Backdoor.Huigezi.bl
34.Worm.Agobot.3.vm
35.Backdoor.VB.to
36.Trojan-Proxy.Win32.Mitglieder.gen
37.DDoS.Win32.Delf.d
38.DoS.Win32.Delf.d
39.Backdoor.VB.bf
40.TrojanDownloader.Win32.Swizzor.cc
41.TrojanDownloader.Win32.Swizzor.ca
42.Backdoor.VB.tq
43.Backdoor.Small.w
44.Backdoor.Small.x
45.Backdoor.Small.y
46.Backdoor.SubSeven.21.c
47.Backdoor.VB.tp
48.Backdoor.Small.v
49.Backdoor.VB.tr
50.Backdoor.VB.ts
51.Backdoor.VB.tv
52.Backdoor.VB.tw
53.Backdoor.WinShell.a
54.Backdoor.Wisdoor.aa
55.Backdoor.Wootbot.et
56.Backdoor.Agobot.hd
57.Trojan.PSW.LMir.abc
58.Backdoor.Sdbot.aop
59.Hack.Ipscan
60.TrojanDropper.Agent.a
61.Trojan.PSW.LMir.abd
62.TrojanSpy.BHO.j
63.TrojanSpy.Keylogger.KeyGuard
64.Trojan.PSW.VQQ.a
65.Joke.Win32.Train
66.Backdoor.Sdbot.aon
67.Backdoor.Rbot.aih
68.Backdoor.Haxdoor.b
69.Backdoor.Cmjspy.ad
70.Backdoor.Sdbot.aoo
71.Backdoor.GPigeon.4.b
72.Trojan.Win32.StartPage.pe
73.Backdoor.Hackdoor.a
74.Trojan.Fixyou.a
75.Trojan.PSW.Lineage.ar
76.Trojan.PSW.Lineage.as
77.Backdoor.Hackdoor.b
78.TrojanSpy.TkitSpy
79.Binder.Fogbull.a
80.Trojan.StartPage.dk
81.TrojanDropper.Small.dc
82.Trojan.PSW.LMir.aaz
83.Trojan.Win32.Startpage.xy
84.TrojanDownloader.Istbar.y
85.Backdoor.GPigeon.4.a
脚本病毒(1)
86.TrojanDownloader.JS.Small.h
普通文件病毒(10)
87.OS2.MyName
88.TrojanDownloader.Small.vp
89.Dropper.Chm.ag
90.Backdoor.PHP.Sash.a
91.Backdoor.Agobot.hc
92.TrojanDownloader.Win32.Small.ahd
93.TrojanDownloader.Win32.Monurl.m
94.Exploit.Perl.Kce.a
95.HackTool.WebShell.c
96.Backdoor.FireFox