词条 | 色情终结者 |
释义 | 这是一个感染型脚本病毒。 1.初始化: (1)读取下列注册表内容,将Username的值赋给GetUserName,否则将其值设为Administrator; "HKEY_CURRENT_USER\\Software\\Microsoft\\Active Setup\\Installed Components\\ {44BBA840-CC51-11CF-AAFA-00AA00B6015C}\\Username" (2)读取下列注册表内容赋于GetFSOName,否则将GetUserName的值设为Scripting.FileSystemObject; HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\ProgID\\; (3)读取%system%目录下%GetUserName%.ini文件第三行的数据,如果为Admin则弹出内容为"You Are Admin!!! Your Computer Will Not Be Infected!!! "的消息框;并提示用户输入相应数值进行如下操作: "0:退出; 1:监视系统; 2:传染文件, SuperVirus脚本测试!" 2.运行后具体病毒行为: (1)运行病毒病毒会将自身副本复制到如下系统目录,并将其属性设置为系统、隐藏: %WINNT%\\%GetUserName%.vbs; %system%\\%GetUserName%.vbs; 各个分区根目录的%GetUserName%.vbs; (2)遍历磁盘,当磁盘类型为DRIVE_NO_ROOT_DIR,DRIVE_REMOVABLE,DRIVE_FIXED时生成Autorun.inf,目的为使得用户采用鼠标双击、右键打开和右键资源管理器打开文件时,将病毒文件运行起来; (3)生成%system32%\\%GetUserName%.ini,这是病毒的配置文件。 (4)感染和破坏过程如下: 病毒运行后会遍历磁盘将含有成人色情词汇且扩展名为"mpg", "rmvb", "avi", "rm"的文件删除。 遍历磁盘中扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件,并将自身插入到这些文件的头部,生成有效脚本文件实现感染。该病毒在感染前会首先判断系统中的脚本是否已经被感染,该脚本感染后,会将感染标记标记在脚本的指定位置,不重复感染。 (5)修改注册表: <1>添加自身的启动加载项: "HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Load" 值为%SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1 <2>修改文件关联: "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型) "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型) "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\regfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型) "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\chm.file\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型) <3>修改浏览器显示文件夹属性,隐藏文件: "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue",0(值), "REG_DWORD"(类型) "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced \\ShowSuperHidden",0(值), "REG_DWORD"(类型) <4>打开系统自动播放功能: "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion \\Policies\\Explorer\oDriveTypeAutoRun",129(值), "REG_DWORD"(类型) (6)病毒具有监视系统功能,当用户选择监视系统时,病毒会监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",发现后就结束该进程,然后执行感染功能; (7)病毒将记录感染脚本的数量,当感染脚本的数量超过200时,会自动弹出消息框,内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !"; (8)病毒将感染文件的信息记录到%system %目录下的%GetUserName%.ini中,如感染日期等; (9)病毒被其设计者划分为几个主要个功能模块,这些模块以指定的串作为开头和结尾的标志,病毒实现这些模块位置在感染过程中的相互位置变换,以及模块标志的命名变化。 3.该病毒特点如下: (1)病毒实现感染过程中的模块位置变换,增加部分杀毒软件公司的处理难度; (2)病毒有自身的版本,当用户运行该病毒的更高版本时,其各系统盘的副本会实现替换更新,其Autorun.inf文件的文件指向也会随之变更; (3)病毒体内本身预留了杀毒和系统注册表恢复的代码,感染后会提示用户联系其作者索取杀毒功能,有明显的讹诈意图。 ============================= 病毒名称 色情终结者 威胁级别 病毒类型 网页病毒 病毒长度 33842 影响系统 Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为 这是一个感染脚本和网页文件的病毒。它运行时会关闭任务管理器、注册表编辑器、瑞士军刀注册表修复工具、360安全卫士等系统进程和安全软件,将自己扩散到所有磁盘中,感染全部的正常VBS脚本文件,还会删除名称与色情有关的avi, mpg, rm, rmvb格式的视频文件。 1. 病毒运行后,产生以下病毒文件: %SystemRoot%\\%UserName%.vbs %SystemRoot%\\System32\\%UserName%.vbs %SystemRoot%\\System32\\%UserName%.ini 以上的文件名根据用户的电脑不同有所区别, 一般为当前的用户名或Administrator. 下同. 2. 在每个盘的根目录下生成autorun.inf和%UserName%.vbs. autorun.inf指定当用户双击打开分区或点右键 选择资源管理器时, 运行病毒程序. 3. 病毒运行时, 会关闭打开的任务管理器, 注册表编辑器, msconfig, 命令行提示符, SREng, 360安全卫士等 软件. 4. 感染用户电脑上的所有以vbs为扩展名VBScript脚本文件和以hta, htm, html, asp为扩展名的网页文件. 5. 删除用户电脑上以avi, mpg, rm, rmvb为扩展名且文件名中含有特定字符串的视频文件. 6. 有时会显示消息框, 内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !", . 7. 修改注册表, 将病毒设置为随系统启动. 8. 修改注册表, 使用户无法通过设置文件夹选项显示隐藏文件, 也无法显示受保护的操作系统文件. 9. 将病毒文件设置为txt, hlp, chm, reg等类型文件的关联程序, 当用户双击打开这些类型的文件时, 都会执行 病毒程序. 10. 病毒可以通过U盘, 软盘和windows网络共享传播. ============================================= |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。