“Worm.sysKiller”的意思、由来-中文百科全书

基本信息

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。

行为描述

1，生成文件

%system%\\windows32.exe

%system%\\update3.exe

2，添加启动项

HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run

services="%system%\\windows32.exe"

3，关闭相关进程

AckWin32.EXE

AGENTSVR.EXE

agentw.EXE

CFINET.EXE

f-stopw.EXE

navapsvc.EXE

Navw32.EXE

NEOMONITOR.EXE

PURGE.EXE

PVIEW95.EXE

等等

4，禁止软件运行(修改注册表)

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

DisableTaskMgr

DisableRegistryTools

HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU

NoAutoUpdate

HKLM\\Software\\Microsoft\\security center

HKCU\\Software\\Microsoft\\security center

FirewallDisableNotify

UpdatesDisableNotify

AntiVirusDisableNotify

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

DisableSR

HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

Comutername="Snart"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun

NMain.exe

taskmgr.exe

ZLCLIENT.EXE

regedit.exe

ccapp.exe

5，查看下列后缀的文件并盗取信息

htt

htm

html

hta

hte

htx

shtml

stm

asp

xml

doc

rtf

txt

dbx

php

php3

phtml

jsp

sql

eml

ini

tbb

tbi

6，修改host

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 updates.symantec.com

127.0.0.1 update.symantec.com

词条	Worm.sysKiller
释义	基本信息病毒介绍行为描述基本信息病毒别名：处理时间：威胁级别：★★ 中文名称：病毒类型：蠕虫影响系统：Win9x / WinNT 病毒介绍该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。行为描述 1，生成文件 %system%\\windows32.exe %system%\\update3.exe 2，添加启动项 HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run services="%system%\\windows32.exe" 3，关闭相关进程 AckWin32.EXE AGENTSVR.EXE agentw.EXE CFINET.EXE f-stopw.EXE navapsvc.EXE Navw32.EXE NEOMONITOR.EXE PURGE.EXE PVIEW95.EXE 等等 4，禁止软件运行(修改注册表) HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr DisableRegistryTools HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU NoAutoUpdate HKLM\\Software\\Microsoft\\security center HKCU\\Software\\Microsoft\\security center FirewallDisableNotify UpdatesDisableNotify AntiVirusDisableNotify HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore DisableSR HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName Comutername="Snart" HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun NMain.exe taskmgr.exe ZLCLIENT.EXE regedit.exe ccapp.exe 5，查看下列后缀的文件并盗取信息 htt htm html hta hte htx shtml stm asp xml doc rtf txt dbx php php3 phtml jsp sql eml ini tbb tbi 6，修改host 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com
随便看	中国民主建国会上海市嘉定区委员会中国民主建国会上海市金山区委员会中国民主建国会上海市静安区委员会中国民主建国会上海市普陀区委员会中国民主建国会上海市浦东新区委员会中国民主建国会上海市青浦区委员会中国民主建国会上海市松江区委员会中国民主建国会上海市委员会中国民主建国会上海市徐汇区委员会中国民主建国会上海市杨浦区委员会中国民主建国会上海市闸北区委员会中国民主建国会上海市闵行区委员会中国民主建国会绍兴市委员会中国民主建国会绍兴县总支部中国民主建国会四川省委员会中国民主建国会泰安市委员会中国民主建国会渭南市委员会中国民主建国会温州市委员会中国民主建国会乌鲁木齐市委员会中国民主建国会无锡市委员会中国民主建国会芜湖市委员会中国民主建国会武汉市委员会中国民主建国会新昌县支部中国民主建国会新疆维吾尔自治区委员会中国民主建国会浙江大学委员会

基本信息

病毒介绍

行为描述