| kailangq认为到目前为止,问题已有明确答案,本贴已被冻结,不再接受更多的回复 “五毒虫”综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害。据率先截获此病毒的金山毒霸反病毒工程师介绍,中此毒后的计算机可能会出现如下的所有或任意一种现象:向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等。
据悉,这个病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样,极其讨厌。原因是很多病毒源代码在网上都有公布,此病毒作者将几个个危害严重的病毒代码重新组合编写,集五毒于一毒。
该病毒不仅可以中止各类杀毒软件进程,而且还可通过邮件大量传播,使更多用户受到感染。目前它可对系统造成更加严重威胁,不仅可打开系统后门让黑客更容易连结到用户计算机,拦截IE、QQ,网络游戏等应用程序,造成信息泄密。
它的特点是:A、如果杀毒软件进程存在,则中止以下进程:
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
Rising
B、对网络上的计算机的管理员密码,进行弱密码攻击,如果攻击成功的话,则病毒感染这台机器。
C、搜索邮件列表,并试图发电子邮件,电子邮件的附件一般名为:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
D、在所有目录中搜索后缀名为如下的的文件
.htm .sht .php .asp .dbx .tbb .adb .wab
从中找到邮件地址,并用自己的邮件系统发送邮件
E、搜索c-z的硬盘,如果发现可移动设备,进行下列操作:
搜索扩展名为exe的文件,将原文件扩展名改为zmx,同时将病毒自身拷贝到此并和原文件同名.
F、搜索本地邮件客户端,如:Microsoft Outlook等,并回复所有收到的邮件:
如果原信件为:
标题: 原标题
发件人: @
内容: <内容>
蠕虫回复的邮件就为:
标题: Re: 原标题
收件人: @
内容:
'' 写道:
====
> <原信件内容>
>
====
<发件者的邮件服务器> 帐号自动回复:
followed by one of the following:
If you can keep your head when all about you
Are losing theirs and blaming it on you; (后面的省略了)
> Get your FREE account now! <
H,在下列目录中搜索扩展名为.txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht, and .htm的文件,并在这些文件中搜索email地址.
%Windir%\Local Settings
\Documents and Settings\\local settings
Temporary Internet Files
21,通过自己的smtp引擎向搜索到的email地址发信,特征为:
发件人: 随机字符
标题:下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
内容: 下列之一
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件: (下列之一)
document
readme
doc
text
file
data
test
message
body
扩展名:
.bat
.exe
.scr
.pif
G、将%Windir%\Media设置为共享目录,名字为Media
H、会监视用户密码,并将监视到的结果保存到
%System%/win32add.sys
%System%/win32pwd.sys
技术特点:
A、木马运行后会将自身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
在系统安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%System%\spollsv.exe
%system%\internet.exe
%System%\svch0st.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
B、在注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
"Network Associates, Inc."="internet.exe"
"S0undMan"="svch0st.exe"
在注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下键值:
"SystemTra"="%Windor%\SysTra.EXE"
对于win98/me系统 会对%system%\win.ini文件内添加如下内容:
run=%System%\RAVMOND.exe
C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll 和ondll_server。
D、随机开启一个端口,作为后门。
E、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开头
F、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
请求广大高手及时提供手动解决的办法,谢谢!
|
论坛用户
见习版主
论坛用户
论坛用户
论坛用户
论坛: 病毒专区
标题: 谁有五毒虫病毒的解决方案?