“Worm.Win32.DownLoad.b”的意思、由来-中文百科全书

简介

瑞星将该病毒定义为:Worm.Win32.DownLoad.b

病毒所包括的源文件有

c:\\autorun.inf

c:\iu.exe

c:\\WINDOWS\\system32\\Autorun.inf

c:\\WINDOWS\\system32\\crsss.exe

以及其它所有盘根目录下有

autorun.inf

niu.exe

详细

autorun.inf内容

其中autorun.inf文件里的内容为

[AutoRun]

open=niu.exe

shell\\open=打开(&O)

shell\\open\\Command=niu.exe

shell\\open\\Default=1

shell\\explore=资源管理器(&X)

shell\\explore\\Command=niu.EXE

修改系统时间为2000年

修改注册表项

添加注册表启动项指向c:\\WINDOWS\\system32\\crsss.exe

rem 添加以下注册表项,禁用任务管理器

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr

键值: DWORD: 1 (0x1)

rem 添加以下注册表项,禁用Windows更新程序

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WindowsUpdate DisableWindowsUpdateAccess

键值: DWORD: 1 (0x1)

rem 添加映像关联，导致杀毒软件无法使用

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options

rem 修改注册表项，导致无法显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\OHIDDEN Text

旧: 字符串: "@shell32.dll,-30501"

新: 字符串: "禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽."

rem 修改注册表项，导致无法显示隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue

键值: 字符串: "1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL DefaultValue

键值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL HelpID

键值: 字符串: "shell.hlp#51105"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL HKeyRoot

键值: DWORD: 2147483649 (0x80000001)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL RegPath

键值: 字符串: "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL Text

键值: 字符串: "@shell32.dll,-30500"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL Type

键值: 字符串: "radio"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL ValueName

键值: 字符串: "Hidden"

rem 删除进入安全模式的注册表项，导致你进入安全模式就会蓝屏

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

清除niu病毒(病毒源文件包括autorun.inf,niu.exe,crsss.exe)

词条	Worm.Win32.DownLoad.b
释义	简介详细(autorun.inf内容修改注册表项) 简介瑞星将该病毒定义为:Worm.Win32.DownLoad.b 病毒所包括的源文件有 c:\\autorun.inf c:\iu.exe c:\\WINDOWS\\system32\\Autorun.inf c:\\WINDOWS\\system32\\crsss.exe 以及其它所有盘根目录下有 autorun.inf niu.exe 详细 autorun.inf内容其中autorun.inf文件里的内容为 [AutoRun] open=niu.exe shell\\open=打开(&O) shell\\open\\Command=niu.exe shell\\open\\Default=1 shell\\explore=资源管理器(&X) shell\\explore\\Command=niu.EXE 修改系统时间为2000年修改注册表项添加注册表启动项指向c:\\WINDOWS\\system32\\crsss.exe rem 添加以下注册表项,禁用任务管理器 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System DisableTaskMgr 键值: DWORD: 1 (0x1) rem 添加以下注册表项,禁用Windows更新程序 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WindowsUpdate DisableWindowsUpdateAccess 键值: DWORD: 1 (0x1) rem 添加映像关联，导致杀毒软件无法使用 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options rem 修改注册表项，导致无法显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\OHIDDEN Text 旧: 字符串: "@shell32.dll,-30501" 新: 字符串: "禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽." rem 修改注册表项，导致无法显示隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL CheckedValue 键值: 字符串: "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL DefaultValue 键值: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL HelpID 键值: 字符串: "shell.hlp#51105" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL HKeyRoot 键值: DWORD: 2147483649 (0x80000001) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL RegPath 键值: 字符串: "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL Text 键值: 字符串: "@shell32.dll,-30500" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL Type 键值: 字符串: "radio" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL ValueName 键值: 字符串: "Hidden" rem 删除进入安全模式的注册表项，导致你进入安全模式就会蓝屏 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认键值: 字符串: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认键值: 字符串: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认键值: 字符串: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318} 默认键值: 字符串: "DiskDrive" 清除niu病毒(病毒源文件包括autorun.inf,niu.exe,crsss.exe)
随便看	张志文张志武张志熙张志霞张志贤张志祥张志新张志新之死张志信张志行张志雄张志秀张志绪张志轩张志学张志勋张志逊张志雁张志扬张志耀张志业张志毅张志义张志银张志英