病毒别名： 处理时间：2006-09-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个会窃取用户信息的木马，并且受感染机器会对指定的机器进行攻击，

建议电脑用户不要随便运行不名来历的文件，以免中毒受害。

1、生成的文件

%SystemRoot%\\system32\\Server.exe

2、NT系统下安装服务实现自启动，9x系统添加注册表启动

HKLM\\System\\CurrentControlSet\\Services\\MessageForBox

"Type" = "0x110"

HKLM\\System\\CurrentControlSet\\Services\\MessageForBox

"Start" = "0x2"

HKLM\\System\\CurrentControlSet\\Services\\MessageForBox

"ImagePath" = "C:\\WINNT\\system32\\Server.exe -NetSata"

HKLM\\System\\CurrentControlSet\\Services\\MessageForBox

"DisplayName" = "Windows MessengerBox"

HKLM\\System\\CurrentControlSet\\Services\\MessageForBox

"Description" = "计算机磁盘管理"

3、调用CMD执行清除系统日志的命令

/c del %SystemRoot%\\\\*.log

/c del %SystemRoot%\\\\*.txt

/c del %SystemRoot%\\\\system32\\\\*.log

/c del %SystemRoot%\\\\system32\\\\*.txt

4、按照http://www.looksoft.**/ip.txt文件内容，对其指定的机器进行DDOS攻击。

ip.txt内容

-------------------------------

ddosvip220.170.***.10:82edd

-------------------------------

5、关闭下列名称进程

PasswordGuard.exe

KVXP.KXP

KVMonXP.KXP

Symantec AntiVirus 企业版

江民杀毒软件 KV2006：实时监视

RavMon.exe

RavMonClass

TfLockDownMain

ZoneAlarm

ZAFrameWnd

天网防火墙个人版

Tapplication

天网防火墙企业版

TForm1

噬菌体

木马克星

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

Sphinx.exe

VSHWIN32.EXE

VSECOMR.EXE

WEBSCANX.EXE

AVCONSOL.EXE

VSSTAT.EXE

kvsrvxp.exe

trojdie.kxp

kvmonxp.kxp

kregex.exe

kvsrvxp.exe

6、在原病毒目录下生成_deleteme.bat文件实现自删除。