病毒简述

病毒行为

病毒简述

病毒别名：

处理时间：2005-09-26

威胁级别：★★

中文名称：灾飞

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

这是一个通过邮件传播的蠕虫病毒，该病毒会搜索用户机器上的邮箱地址，向其发送带有诱惑性词语的病毒邮件，诱使用户打开。用户运行后，会弹出一个对话框文件不能运行的对话框，以麻痹用户。

1.生成文件：

C:\\WINNT\\system32\\02750701425Z.dll

C:\\WINNT\\system32\\07014272175Z.dll

C:\\WINNT\\system32\\07365045125Z.dll

C:\\WINNT\\system32\\10811866075Z.dll

C:\\WINNT\\system32\\12027507015Z.dll

C:\\WINNT\\system32\\17108118665Z.dll

C:\\WINNT\\system32\\36504512025Z.dll

C:\\WINNT\\system32\\50451202755Z.dll

C:\\WINNT\\system32\\66073650455Z.dll

C:\\WINNT\\system32\\72171081185Z.dll

C:\\WINNT\\system32\\75070142725Z.dll

C:\\WINNT\\system32\\Symantec_Update-77443.exe

2.改变文件，用病毒体替换以下文件：

"Divx Player 7.0.exe"

"Adobe Acrobat 8.0.exe"

3.添加注册表，使病毒开机运行：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

__ZF5

Symantec_Update-77443.exe

4.添加以下注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\__ZF5

gD

5.病毒添加为服务：

Windows Firewall/Internet Connection Sharing (ICS)

6.互斥体："__ZF5"

7.修改下面的键值：

"HKLM\\Software\\Microsoft\\Security Center\\Monitoring\\%soft%"

"DisableMonitoring"

中%soft%为以下：

KasperskyAntiVirus

McAfeeAntiVirus

PandaAntiVirus

SophosAntiVirus

SymantecAntiVirus

TrendAntiVirus

8。弹出对话框：

"Windows has blocked access to this image."

9。结束以下进程：

'Luall.exe',

'nod32.exe'

'gcasDtServ.exe',

'nod32krn.exe',

'nod32kui.exe',

'AVLTMAIN.EXE',

'MRT.exe',

'gcasServ.exe',

'avginet.exe',

'inetupd.exe'

'fpavupdm.exe',

'Updater.exe',

'pcclient.exe',

'F-StopW.exe',

'drwebupw.exe',

'QH32.EXE',

'QHM32.EXE',

'LIVEUP.exe',

'savmain.exe',

'savprogess.exe',

'nod32.exe',

'bdmcon.exe',

'bdlite.exe',

'McUpdate.exe',

'mcmnhdlr.exe',

'VBInstTmp.exe',

'vbcmserv.exe',

'vbcons.exe',

'fspex.exe',