词条 | Worm/P2P.Niklas.u |
释义 | Worm/P2P.Niklas.u 病毒长度:不定 病毒类型:网络蠕虫 危害等级:* 影响平台:Win9X/2000/XP/NT/Me Worm/P2P.Niklas.u是用Delphi语方编写并经UPX 1.08, Yoda's Crypter 1.2进行压缩,通过 KaZaA, Morpheus, eDonkey2000等文件共享网络进行传播,会尝试终止一些反病毒软件及防火墙程序。 传播过程及特征: 1.创建文件夹: %Windir%\\Temp\\Binary32\\ 生成文件: %Windir%\iklaus.exe %Windir%\\kamer.scr %Windir%\\melis.exe %Windir%\\Temp\\Binary32\\<任意名>.exe 2.修改注册表: [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "nikLaus" = "%Windir%\iklaus.exe" [HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent] "DisableSharing" = "0" 3.试图破坏反病毒软件及防火墙程序,不但终止其进程,还会删除注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices中的相关键值 4.通过文件共享进行传播。 5.通过注册表中的一些键值获取目录,在这些目录下搜索所有的.exe文件,并用蠕虫自身替代原文件: HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer "DlDir0" HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent "DownloadDir" HKEY_CURRENT_USER\\Software\\Shareaza\\Shareaza\\Transfers "DownloadsPath" HKEY_LOCAL_MACHINE\\SOFTWARE\\LimeWire "InstallDir" HKEY_CURRENT_USER\\Software\\iMesh\\Client\\LocalContent "DownloadDir" HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer "Download Directory" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders "Personal" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders "Desktop" HKEY_LOCAL_MACHINE\\Software\\Mirabilis\\ICQ\\DefaultPrefs "Receive Path" 获取的文件夹如: %ProgramFiles%\\Kazaa\\共享文件夹 %ProgramFiles%\\Kazaa Lite\\共享文件夹 %ProgramFiles%\\ICQ\\共享文件夹 %ProgramFiles%\\mIRC\\Download C:\\My Downloads C:\\共享文件夹 C:\\mIRC\\Download …… 注:%Windir%为变量,一般为C:\\Windows 或 C:\\Winnt; %ProgramFiles%为变量一般为C:\\ProgramFiles; %System%为变量,一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP)。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。