Worm.VcingT.w.102400

病毒名稱(中文):

磁碟機變種102400

病毒別名:

WhiteIce

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

36864

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個磁碟機下載器的變種。它會破壞一些安全工具和殺毒軟件的正常運行,並反複寫注冊表來破壞系統安全模式。病毒還會在每個分區下釋放AUTORUN.INF來達到自運行。在發作後期,它會下載大量其它木馬程序到用戶電腦上。

病毒功能:

一、病毒通過修改系統默認加載的DLL列表項來實現DLL注入,並在注入後設置全局鈎子.

通過遠程進程注入,並根據以下要害字關閉殺毒軟件和病毒診斷等工具:

360safe

360安全

ieframe

cabinetwclass

mozillauiwindowclass

metapad

dr.web

avg

tapplication

kv

monitor

eset

AfxControlBar42s

360safe

360anti

afx:

金山

thunderrt6main

antivir

費爾

微點

SREng介紹

升級

thunderrt6formdc

ThunderRT6Timer

arp

ewido

escan

mcagent

bitdefender

facelesswndproc

狙劍

firewall

eqsyss

掃描

病毒枚舉進程名,通過搜索以下要害字來關閉進程:

Ravavptwisterkvwatchkissvcscanguard

找到帶有要害字的窗口後,就往目標窗口發送大量的垃圾消息,是其無法處理而進入假死的狀態,當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。

病毒關閉殺毒軟件的方法沒有什麽創新,但要害字變的更短,使一些名字相近的進程或窗口也被關閉。

二、修改注冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示.

//------------------------------------------------------------------------------------------------------------

(中毒前)(中毒後)

三、刪除注冊表裏關于安全模式設置的值,使安全模式被破壞,病毒會反複改寫注冊表,使清理專家和AV終結者專殺等修複安全模式的工具失效。

四、在C:盤目錄下釋放一個NetApi00.sys的驅動文件,並創建服務加載它,驅動的作用就是讀寫內核空間的內存。病毒把系統的內核文件加載起來,然後經過重定位,通過驅動來恢複系統中的SSDTHOOK.這使得很多的實時監控和主動防禦攔截監控失敗,病毒恢複SSDT後就刪除自己的驅動。

五、刪除注冊表HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer鍵及其子鍵,使用戶設定組策略中的軟件限制策略的設置失效。

六、不斷刪除注冊表的要害鍵值來來破壞安全模式和殺毒軟件和主動防禦的服務,使很多主動防禦軟件和實時監控無法再被開啓。

七、病毒在每個硬盤分區和可移動磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個文件,來達到自運行的目的。並以獨占方式打開這兩個文件,使其無法被直接刪除、訪問和拷貝。

八、病毒爲了不讓一些安全工具自啓動,把注冊表的整個RUN項及其子鍵全部刪除,並且刪除全部的映象劫持項(意圖不明,大概是爲了防止一些利用映象劫持的病毒免疫)。

九、病毒釋放以下文件:

%SystemRoot%\system32\Com\smss.exe

%SystemRoot%\system32\Com\netcfg.000

%SystemRoot%\system32\Com\netcfg.dll

%SystemRoot%\system32\Com\lsass.exe

然後運行SMSS.EXE和LSASS.EXE,由于進程名和系統的兩個要害進程名相似,任務治理器無法直接結束它們。

倘若檢測到病毒進程被關閉,就會立即又啓動病毒進程,若某些安全工具阻止了它啓動進程,病毒就馬上重啓系統!

十、病毒並不主動添加啓動項,而是通過重啓重命名方式來把C:\下的0357589.log文件(0357589是一些不固定的數字)改名到」啓動」文件夾下的~.exe.664406.exe(664406也不固定)。重啓重命名優先與自啓動,啓動完成後又將自己刪除或改名回去.這種方式自啓動極爲隱蔽,現有的安全工具都無法檢測的出來.AV終結者專殺無法徹底清除這個磁碟機變種,正是因爲這個原因!

十一、病毒會自動下載最新版本和其它的一些病毒木馬到本地運行

該病毒會下載並利用ARP病毒來對內網進行傳染,並會主動更新病毒版本。

十二、病毒會感染除SYSTEM32目錄外其它目錄下的所有可執行文件。

並且會感染壓縮包內的文件,若機器安裝了winrar會調用其中rar.exe釋放到臨時文件夾,感染壓縮包內文件再打包。

· 湖北宜昌三峽壩區水面驚現神秘動物

近日,湖北宜昌,一段視頻在當地熱傳:有網友在三峽壩區拍到神秘動物,體型碩大數米長...

· 什麽是語段?語段的類型以及和句群、段落的區別與聯系是什麽?

句群是最高級的語言單位。 段落(自然段)是章法單位...

· 十八部好看的賭石類小說

以下是十八部(排名不分先後)好看的賭石類小說的簡介,喜歡的朋友可以去搜索書名閱讀...

 
Worm.VcingT.o.102400
病毒名稱(中文): 感染蟲下載器102400 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 102400影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個感染型病毒。該病毒...查看完整版>>Worm.VcingT.o.102400
 
Worm.VcingT.w.102400
病毒名稱(中文): 磁碟機變種102400 病毒別名: WhiteIce 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 36864影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個磁碟機下載...查看完整版>>Worm.VcingT.w.102400
 
PE.ExplorerDL.c.102400
病毒名稱(中文): PE木馬下載器102400 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 102400影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 該毒是一個采用高級語言編...查看完整版>>PE.ExplorerDL.c.102400
 
Win32.VcingT.ph.204808
病毒名稱(中文): 磁碟機變種204808 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 204808影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個感染型病毒。該病毒...查看完整版>>Win32.VcingT.ph.204808
 
Win32.PSWTroj.OnLineGames.102400
病毒名稱(中文): 劍俠盜號木馬102400 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 102400影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個針對網絡遊戲《...查看完整版>>Win32.PSWTroj.OnLineGames.102400