请输入您要查询的百科知识:

 

词条 soS.Exe
释义

基本信息

进程文件:soS.Exe

文件版本:未知N/A

文件大小:28,160 字节

所在系统:Win9x, WinMe, WinNT, Win2000, WinXp, Win2003

所在位置:%DriveLetter%

MD5校验码:80FEEA0D5D3E0F1EDE1C41326F943CA2

进程名称:Worm.Win32.AutoRun.blg

描 述:soS.Exe该病毒属蠕虫类,病毒运行后。复制自身到%System32%下,并衍生autorun.inf文件;复制自身到各个驱动器根目录下,衍生autorun.inf文件,以达到双击打开盘符自动执行病毒文件的目的,修改系统时间年份为2000年;修改注册表,隐藏具有系统属性和隐藏属性的文件,并将其锁定,使用户无法进行修改;禁用任务管理器;关闭系统自动升级,锁定IE主页,使用户无法修改,创建启动项,使病毒能够随机运行;连接网络,下载病毒文件,并执行,搜索HTML扩展名的文件,在后面添加97个空字节,该病毒应为病毒的测试版本,为以后版本提供便利;病毒运行完毕后删除自身。

出 品 者:未知N/A

属 于:未知N/A

系统进程:否 

后台程序:是

使用网络:是

硬件相关:否

常见错误:未知N/A

内存使用:未知N/A

风险等级(0-5):5

间谍软件:否

广告软件:否

病毒文件:是

木马文件:否

病毒行为

这是一个病毒下载器,它可通过U盘传播。该病毒运行后会修改用户的计算机配置和IE浏览器的数据,从网络上下载大量恶意软件,并禁止用户访问任何与杀毒及系统安全有关的网页。

一、病毒运行后会产生一个名为TxHMoU的进程

1、该进程监控注册表和文件,防止病毒的注册表项和病毒文件被删除或修改

2、该进程从网上下载大量的病毒

3、当用户访问一些带“杀毒”,“瑞星”之内关键词的网页时,病毒会将IE关闭

4、由于监控文件和注册表的修改,消耗了系统的大量资源,降低电脑运行速度

二、释放文件

1、拷贝自身到C:\\WINDOWS\\system32\\TxHMoU.Exe

2、在每个盘的根目录释放

AUToRUN.Inf

soS.Exe

比如在我机器上的情况如下所示

C:\\AUToRUN.Inf

C:\\soS.Exe

C:\\WINDOWS\\system32\\AUToRUN.Inf

D:\\AUToRUN.Inf

D:\\soS.Exe

E:\\AUToRUN.Inf

E:\\soS.Exe

3、下载配置文件

IE.txt 下载后命名为FSEb.COM,记录了IE主页的URL,病毒会将IE主页修改为此URL

table.txt 下载后命名为FSEx.COM,记录了一些网页的关键词,如果用户所访问的网页包含有这些关键词病毒会关闭IE

url.txt 记录了病毒要下载的病毒的URL

三、修改注册表

1、添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

crsss "C:\\WINDOWS\\system32\\TxHMoU.Exe"

2、禁用任务管理器

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

DisableTaskMgr dword:00000001

3、禁止自动升级

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WindowsUpdate

DisableWindowsUpdateAccess dword:00000001

4、禁止显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

CheckedValue dword:00000000

5、修改IE主页

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

Start Page "http://m**n.9**k.com"

6、禁止用户修改IE主页

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel

HomePage dword:00000001

7、当用户访问包含以下关键字的网页时,IE会被关闭

360safe,木马,木马,病毒,杀毒,杀毒,查毒,防毒,反病毒,专杀,专杀,卡巴,江民,瑞星,卡卡社区,金山毒霸,毒霸,金山,社区,360安全,恶意软件,流氓软件,举报,报警,杀软,杀软,防骇,微点,卡巴斯基,kaspersky,rising,瑞星,诺顿

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 23:21:36