请输入您要查询的百科知识:

 

词条 色情终结者
释义

这是一个感染型脚本病毒。

1.初始化:

(1)读取下列注册表内容,将Username的值赋给GetUserName,否则将其值设为Administrator;

"HKEY_CURRENT_USER\\Software\\Microsoft\\Active Setup\\Installed Components\\

{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\\Username"

(2)读取下列注册表内容赋于GetFSOName,否则将GetUserName的值设为Scripting.FileSystemObject;

HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\ProgID\\;

(3)读取%system%目录下%GetUserName%.ini文件第三行的数据,如果为Admin则弹出内容为"You Are Admin!!! Your Computer Will Not Be Infected!!! "的消息框;并提示用户输入相应数值进行如下操作: "0:退出; 1:监视系统; 2:传染文件, SuperVirus脚本测试!"

2.运行后具体病毒行为:

(1)运行病毒病毒会将自身副本复制到如下系统目录,并将其属性设置为系统、隐藏:

%WINNT%\\%GetUserName%.vbs;

%system%\\%GetUserName%.vbs;

各个分区根目录的%GetUserName%.vbs;

(2)遍历磁盘,当磁盘类型为DRIVE_NO_ROOT_DIR,DRIVE_REMOVABLE,DRIVE_FIXED时生成Autorun.inf,目的为使得用户采用鼠标双击、右键打开和右键资源管理器打开文件时,将病毒文件运行起来;

(3)生成%system32%\\%GetUserName%.ini,这是病毒的配置文件。

(4)感染和破坏过程如下:

病毒运行后会遍历磁盘将含有成人色情词汇且扩展名为"mpg", "rmvb", "avi", "rm"的文件删除。

遍历磁盘中扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件,并将自身插入到这些文件的头部,生成有效脚本文件实现感染。该病毒在感染前会首先判断系统中的脚本是否已经被感染,该脚本感染后,会将感染标记标记在脚本的指定位置,不重复感染。

(5)修改注册表:

<1>添加自身的启动加载项:

"HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Load" 值为%SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1

<2>修改文件关联:

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\regfile\\shell\\open\\command\\",

%SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\chm.file\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)

<3>修改浏览器显示文件夹属性,隐藏文件:

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue",0(值), "REG_DWORD"(类型)

"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

\\ShowSuperHidden",0(值), "REG_DWORD"(类型)

<4>打开系统自动播放功能: "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Policies\\Explorer\oDriveTypeAutoRun",129(值), "REG_DWORD"(类型)

(6)病毒具有监视系统功能,当用户选择监视系统时,病毒会监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",发现后就结束该进程,然后执行感染功能;

(7)病毒将记录感染脚本的数量,当感染脚本的数量超过200时,会自动弹出消息框,内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !";

(8)病毒将感染文件的信息记录到%system %目录下的%GetUserName%.ini中,如感染日期等;

(9)病毒被其设计者划分为几个主要个功能模块,这些模块以指定的串作为开头和结尾的标志,病毒实现这些模块位置在感染过程中的相互位置变换,以及模块标志的命名变化。

3.该病毒特点如下:

(1)病毒实现感染过程中的模块位置变换,增加部分杀毒软件公司的处理难度;

(2)病毒有自身的版本,当用户运行该病毒的更高版本时,其各系统盘的副本会实现替换更新,其Autorun.inf文件的文件指向也会随之变更;

(3)病毒体内本身预留了杀毒和系统注册表恢复的代码,感染后会提示用户联系其作者索取杀毒功能,有明显的讹诈意图。

=============================

病毒名称

色情终结者

威胁级别

病毒类型

网页病毒

病毒长度

33842

影响系统

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为

这是一个感染脚本和网页文件的病毒。它运行时会关闭任务管理器、注册表编辑器、瑞士军刀注册表修复工具、360安全卫士等系统进程和安全软件,将自己扩散到所有磁盘中,感染全部的正常VBS脚本文件,还会删除名称与色情有关的avi, mpg, rm, rmvb格式的视频文件。

1. 病毒运行后,产生以下病毒文件:

%SystemRoot%\\%UserName%.vbs

%SystemRoot%\\System32\\%UserName%.vbs

%SystemRoot%\\System32\\%UserName%.ini

以上的文件名根据用户的电脑不同有所区别, 一般为当前的用户名或Administrator. 下同.

2. 在每个盘的根目录下生成autorun.inf和%UserName%.vbs. autorun.inf指定当用户双击打开分区或点右键

选择资源管理器时, 运行病毒程序.

3. 病毒运行时, 会关闭打开的任务管理器, 注册表编辑器, msconfig, 命令行提示符, SREng, 360安全卫士等

软件.

4. 感染用户电脑上的所有以vbs为扩展名VBScript脚本文件和以hta, htm, html, asp为扩展名的网页文件.

5. 删除用户电脑上以avi, mpg, rm, rmvb为扩展名且文件名中含有特定字符串的视频文件.

6. 有时会显示消息框, 内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !", .

7. 修改注册表, 将病毒设置为随系统启动.

8. 修改注册表, 使用户无法通过设置文件夹选项显示隐藏文件, 也无法显示受保护的操作系统文件.

9. 将病毒文件设置为txt, hlp, chm, reg等类型文件的关联程序, 当用户双击打开这些类型的文件时, 都会执行

病毒程序.

10. 病毒可以通过U盘, 软盘和windows网络共享传播.

=============================================

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/4 18:30:57