“Worm.Nimaya.cv”的意思、由来-中文百科全书

传播

(病毒将不感染如下目录的文件):

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

....

(病毒将不感染文件名如下的文件):

setup.exe

病毒将使用两类感染方式应对不同后缀的文件名进行感染

1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)

将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)

在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

在感染时会删除这些磁盘上的后缀名为.GHO

2.生成autorun.inf

病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成

setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联

使病毒在用户点击被感染磁盘时能被自动运行.

3.局域网传播

病毒生成随机个局域网传播线程实现如下的传播方式:

当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典

进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务

启动激活病毒.

被尝试猜测密码的账户号为:

Administrator

Guest

admin

Root

用来进行密码尝试的字典为:

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwerty

baseball

2112

letmein

mein

12345678

12345

admin

5201314

qq520

1234567

123456789

654321

54321

000000

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

2002

2003

2600

alpha

111111

121212

123123

1234qwer

123abc

patrick

administrator

ator

root

fuckyou

fuck

test

test123

temp

temp123

asdf

qwer

yxcv

zxcv

home

owner

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

修改操作系统的启动关联

病毒会将自己复制到%SYSTEM32%\\DRIVERS\\目录下文件名为:spcolsv.exe将以

1秒钟为周期不断设置如下键值:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare=%病毒文件路径%

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

CheckedValue=0

三.下载文件启动

病毒会以20分钟为周期尝试读取特定网站上的下载文件列表

并根据文件列表指定的文件下载,并启动这些程序.

四.与杀毒软件对抗

1.关闭包含以下字符串的窗口：

防火墙

VirusScan

NOD32

网镖

杀毒

毒霸

瑞星

超级兔子

优化大师

大师

木马清道夫

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem procs

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

超级巡警

IceSword

2.结束以下进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

regedit.exe

msconfig.exe

taskmgr.exe

关闭并删除以下服务

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

注:

因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行

病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.

词条	Worm.Nimaya.cv
释义	这是一个传染型的DownLoad 使用Delphi编写该病毒的主要行为: 1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的. 传播修改操作系统的启动关联关闭并删除以下服务传播 (病毒将不感染如下目录的文件): Microsoft Frontpage Movie Maker MSN Gamin Zone Common Files Windows NT Recycled System Volume Information Documents and Settings .... (病毒将不感染文件名如下的文件): setup.exe 病毒将使用两类感染方式应对不同后缀的文件名进行感染 1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM) 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染. 2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx) 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞): 在感染时会删除这些磁盘上的后缀名为.GHO 2.生成autorun.inf 病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成 setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行. 3.局域网传播病毒生成随机个局域网传播线程实现如下的传播方式: 当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒. 被尝试猜测密码的账户号为: Administrator Guest admin Root 用来进行密码尝试的字典为: 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein mein 12345678 12345 admin 5201314 qq520 1234567 123456789 654321 54321 000000 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable 2002 2003 2600 alpha 111111 121212 123123 1234qwer 123abc patrick administrator ator root fuckyou fuck test test123 temp temp123 asdf qwer yxcv zxcv home owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 修改操作系统的启动关联病毒会将自己复制到%SYSTEM32%\\DRIVERS\\目录下文件名为:spcolsv.exe将以 1秒钟为周期不断设置如下键值: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run svcshare=%病毒文件路径% HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue=0 三.下载文件启动病毒会以20分钟为周期尝试读取特定网站上的下载文件列表并根据文件列表指定的文件下载,并启动这些程序. 四.与杀毒软件对抗 1.关闭包含以下字符串的窗口：防火墙 VirusScan NOD32 网镖杀毒毒霸瑞星超级兔子优化大师大师木马清道夫木马清道夫卡巴斯基反病毒 Symantec AntiVirus Duba esteem procs 绿鹰PC 密码防盗噬菌体木马辅助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戏木马检测大师超级巡警 IceSword 2.结束以下进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe regedit.exe msconfig.exe taskmgr.exe 关闭并删除以下服务 Schedule sharedaccess RsCCenter RsRavMon RsCCenter KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.
随便看	防卫大师防卫机制防卫机转防卫技击学防卫计划大纲防卫卷防卫手电筒防卫素防卫体育防卫厅之战警们防卫限度防卫线防卫医科大学防卫者行车记录仪防蚊衬衫防蚊虫网防蚊露防蚊纱窗防蚊手链防污防污染剂防污染区防污整理防雾薄膜防雾玻璃