恶意软件信息.docx
6页
病毒名称:Trojan・Peacomm(CME-711)病毒中文名:(暂无)病毒类型:木马危险级别:★★★影响平台:Windows 95、Windows 98、Windows Me, Windows NT、Windows 2000、Windows XP专杀工具:升级诺顿病系列软件病毒库到最新即可查杀病毒描述:Trojan.Peacomm 是一个木马程序,它会植入驱动软件文件以下载其它安全威胁,通过夹带于含有以下特 征的垃圾邮件来大量散播邮件特征邮件主旨: -230 dead as storm batters Europe. -British Muslims Genocide -Naked teens attack home director. -A killer at 11, he's free at 21 and kill again! -U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel.※病毒邮件参考范例附加文件:FullVideo.exeFull Story.exeVideo.exeRead More.exeFullClip.exe病毒名称:Worm.WhBoy.h病毒中文名:熊猫烧香 / 武汉男生,近日又化身为“金猪报喜” 病毒类型:蠕虫危险级别:★★★★★影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003专杀工具:金山专杀工具安天专杀工具江民专杀工具安博十专杀工具赛门铁克专杀工具病毒描述:“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中 exe,com,pif,src,html, asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工 具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改 成熊猫举着三根香的模样1:拷贝文件病毒运行后,会把自己拷贝到 C:\WINDOWS\System32\Drivers\spoclsv.exe2:添加注册表自启动病毒会添加自启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:Kav、AV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优 化大师、木马克星、木马清道夫、 病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、 SymantecAntiVirus、Duba、esteem proces、绿鹰 PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、 Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword并使用的键盘映射的方法关闭安全软件 IceSword添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程:Mcshield.exe、 VsTskMgr.exe、 naPrdMgr.exe、 UpdaterUI.exe、 TBMon.exe、 scan32.exe、 Ravmond.exe、 CCenter.exe、 RavTask.exe、 Rav.exe、 Ravmon.exe、 RavmonD.exe、 RavStub.exe、 KVXP.kxp、 kvMonXP.kxp、 KVCenter.kxp、 KVSrvXP.exe、 KRegEx.exe、 UIHost.exe、 TrojDie.kxp、 FrogAgent.exe、 Logo1_.exe、 Logo_1.exe、 Rundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share 命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share 命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvce:感染文件病毒会感染扩展名为 exe,pif,com,src 的文件,把自己附加到文件的头部,并在扩展名为 htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址, 达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、 Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢 失。
病毒名称:Backdoor/Huigezi病毒中文名:“灰鸽子”病毒类型:后门危险级别:★影响平台: Win 9X/ME/NT/2000/XP专杀工具: 安博士专杀工具病毒描述:灰鸽子是国内一款著名后门比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者其丰富而强 大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌客户端简易便捷的操作使刚入门的初 学者都能充当黑客当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件但如果拿它做一些非法 的事,灰鸽子就成了很强大的黑客工具这就好比火药,用在不同的场合,给人类带来不同的影响Backdoor/Huigezi.cm “灰鸽子"变种cm是一个未经授权远程访问用户计算机的后门灰鸽子"变种cm 运行后,自我复制到系统目录下修改注册表,实现开机自启侦听黑客指令,记录键击,盗取用户机密 信息,例如用户拨号上网口令,URL密码等利用挂钩API函数隐藏自我,防止被查杀另外,“灰鸽子” 变种cm可下载并执行特定文件,发送用户机密信息给黑客等病毒名称:Wangyindadao病毒中文名:网银大盗病毒类型:木马危险级别:★★影响平台: Win2000,WinXP,Win2003专杀工具:金山专杀工具病毒描述:该病毒通过键盘记录的方式,监视用户操作。
当用户使用个人网上银行进行交易时,该病毒会恶意记录用 户所使用的帐号和密码,记录成功后,病毒会将盗取的帐号和密码发送给病毒作者,造成经济损失传染条件: 该病毒没有主动传播的性质,但容易被人恶意安装或是欺骗安装请广大网络用户不要在不安 全的网址中下载病毒,或是点击等即时通讯中传来的网址病毒名称:Worm.Zotob.a Worm.Zotob.b Worm.Zotob.c病毒中文名:狙击波病毒类型:蠕虫、后门危险级别:★★★影响平台: Win9x / WinNT专杀工具:赛门铁克专杀工具江民专杀工具病毒描述:“狙击波”利用微软刚刚公布的严重系统漏洞(MS05-039)进行主动传播,并且可以通过IRC接受黑客命令, 使被感染计算机被黑客完全控制病毒攻击目标系统时,可能造成系统不断重启,与震荡波、冲击波发作 的时候类似,只不过在Zotob影响的进程变了,变为系统关键进程“Services.exe"。
