“Worm.sysKiller”的意思、由来-中文百科全书

基本信息

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。

行为描述

1，生成文件

%system%\\windows32.exe

%system%\\update3.exe

2，添加启动项

HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run

services="%system%\\windows32.exe"

3，关闭相关进程

AckWin32.EXE

AGENTSVR.EXE

agentw.EXE

CFINET.EXE

f-stopw.EXE

navapsvc.EXE

Navw32.EXE

NEOMONITOR.EXE

PURGE.EXE

PVIEW95.EXE

等等

4，禁止软件运行(修改注册表)

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

DisableTaskMgr

DisableRegistryTools

HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU

NoAutoUpdate

HKLM\\Software\\Microsoft\\security center

HKCU\\Software\\Microsoft\\security center

FirewallDisableNotify

UpdatesDisableNotify

AntiVirusDisableNotify

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore

DisableSR

HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName

Comutername="Snart"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun

NMain.exe

taskmgr.exe

ZLCLIENT.EXE

regedit.exe

ccapp.exe

5，查看下列后缀的文件并盗取信息

htt

htm

html

hta

hte

htx

shtml

stm

asp

xml

doc

rtf

txt

dbx

php

php3

phtml

jsp

sql

eml

ini

tbb

tbi

6，修改host

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 updates.symantec.com

127.0.0.1 update.symantec.com

词条	Worm.sysKiller
释义	基本信息病毒介绍行为描述基本信息病毒别名：处理时间：威胁级别：★★ 中文名称：病毒类型：蠕虫影响系统：Win9x / WinNT 病毒介绍该病毒是一个通过电子邮件传播的蠕虫病毒，病毒发作时，首先关闭一些防毒程序和一些其他病毒；并禁用任务管理器、注册表编辑器等系统软件；然后复制自己，并加载启动项已达到开机启动的目的；该病毒会不断复制自身为update3.exe，并查找用户机子上的一些文本文件获得邮件地址并传播；盗取用户的宝贵信息；该病毒还访问指定网址进行下载病毒。该病毒发作时的特征：弹出对话框Error:Error while running this file；机子速度明显变慢；可能会鼠标键盘失去焦点，变得不可使用；任务管理器、注册表等不可使用。给用户正常的学习、工作、娱乐带来了极大的影响。行为描述 1，生成文件 %system%\\windows32.exe %system%\\update3.exe 2，添加启动项 HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\Run services="%system%\\windows32.exe" 3，关闭相关进程 AckWin32.EXE AGENTSVR.EXE agentw.EXE CFINET.EXE f-stopw.EXE navapsvc.EXE Navw32.EXE NEOMONITOR.EXE PURGE.EXE PVIEW95.EXE 等等 4，禁止软件运行(修改注册表) HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr DisableRegistryTools HKCU\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU NoAutoUpdate HKLM\\Software\\Microsoft\\security center HKCU\\Software\\Microsoft\\security center FirewallDisableNotify UpdatesDisableNotify AntiVirusDisableNotify HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\systemrestore DisableSR HKLM\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName HKCU\\SYSTEM\\CurrentControlSet\\Control\\ComputerName\\ActiveComputerName Comutername="Snart" HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun NMain.exe taskmgr.exe ZLCLIENT.EXE regedit.exe ccapp.exe 5，查看下列后缀的文件并盗取信息 htt htm html hta hte htx shtml stm asp xml doc rtf txt dbx php php3 phtml jsp sql eml ini tbb tbi 6，修改host 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com
随便看	泰州市惠利电子材料有限公司泰州市级财政投资评审暂行办法泰州市嘉靖电力机械设备有限公司泰州市佳运胶带有限公司泰州市佳孚管业有限公司泰州市京剧艺术进中小学课堂实施方案泰州市九龙中心幼儿园泰州市巨力吊装设备有限公司泰州市开发区金达顺新型装饰材料厂泰州市开发区星海机电设备有限公司泰州市凯特精密铸造有限公司泰州市康泰环保科技有限公司泰州市科技局泰州市科技情报研究所泰州市科学技术协会泰州市口岸第二初级中学泰州市口岸第二中心小学泰州市口岸中心小学泰州市篮球运动协会泰州市雷克机械制造有限公司泰州市莲花幼儿园泰州市柳敬亭公园泰州市龙海洗染机械厂泰州市民兴实验中学泰州市民族团结促进会

基本信息

病毒介绍

行为描述