“Worm.sysKiller”的意思、由来-中文百科全书

基本信息

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。

行为描述

1，生成文件

%system%\\windows32.exe

%system%\\update3.exe

2，添加启动项

HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run

services="%system%\\windows32.exe"

3，关闭相关进程

AckWin32.EXE

AGENTSVR.EXE

agentw.EXE

CFINET.EXE

f-stopw.EXE

navapsvc.EXE

Navw32.EXE

NEOMONITOR.EXE

PURGE.EXE

PVIEW95.EXE

等等

4，禁止软件运行(修改注册表)

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

DisableTaskMgr

DisableRegistryTools

HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU

NoAutoUpdate

HKLM\\Software\\Microsoft\\security center

HKCU\\Software\\Microsoft\\security center

FirewallDisableNotify

UpdatesDisableNotify

AntiVirusDisableNotify

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

DisableSR

HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

Comutername="Snart"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun

NMain.exe

taskmgr.exe

ZLCLIENT.EXE

regedit.exe

ccapp.exe

5，查看下列后缀的文件并盗取信息

htt

htm

html

hta

hte

htx

shtml

stm

asp

xml

doc

rtf

txt

dbx

php

php3

phtml

jsp

sql

eml

ini

tbb

tbi

6，修改host

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 updates.symantec.com

127.0.0.1 update.symantec.com

词条	Worm.sysKiller
释义	基本信息病毒介绍行为描述基本信息病毒别名：处理时间：威胁级别：★★ 中文名称：病毒类型：蠕虫影响系统：Win9x / WinNT 病毒介绍该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。行为描述 1，生成文件 %system%\\windows32.exe %system%\\update3.exe 2，添加启动项 HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run services="%system%\\windows32.exe" 3，关闭相关进程 AckWin32.EXE AGENTSVR.EXE agentw.EXE CFINET.EXE f-stopw.EXE navapsvc.EXE Navw32.EXE NEOMONITOR.EXE PURGE.EXE PVIEW95.EXE 等等 4，禁止软件运行(修改注册表) HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr DisableRegistryTools HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU NoAutoUpdate HKLM\\Software\\Microsoft\\security center HKCU\\Software\\Microsoft\\security center FirewallDisableNotify UpdatesDisableNotify AntiVirusDisableNotify HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore DisableSR HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName Comutername="Snart" HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun NMain.exe taskmgr.exe ZLCLIENT.EXE regedit.exe ccapp.exe 5，查看下列后缀的文件并盗取信息 htt htm html hta hte htx shtml stm asp xml doc rtf txt dbx php php3 phtml jsp sql eml ini tbb tbi 6，修改host 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com
随便看	蜗牛火锅蜗牛角上的战争蜗牛角上的战争：《庄子》说蜗牛快跑蜗牛旅行家蜗牛旅游网蜗牛马戏团Bavecircus 蜗牛慢吞吞蜗牛冒险蜗牛冒险中文版蜗牛面包蜗牛男的冒险蜗牛跑跑蜗牛奇谭蜗牛肉片砂锅汤蜗牛肉紫菜瘦猪肉汤蜗牛赛跑锦标赛蜗牛沙发书屋蜗牛瘦肉汤蜗牛速递员蜗牛塔蜗牛逃生路蜗牛天使蜗牛天使点读笔蜗牛跳

基本信息

病毒介绍

行为描述