13.28锟斤拷要锟斤拷杀十锟斤拷锟斤拷锟斤拷

当前位置： >> 首页 >> 业界资讯 >> 瑞星新闻 >> 瑞星新闻

13.28主要增杀十个病毒

www.rising.com.cn 2001-11-8 17:21:21 信息源:不详

2001/11/8)

    1．破坏性程序病毒Harm.regwi2.2，别名古堡幽灵2，依赖系统WIN98/WINNT，驻留运行。

    发作现象：
    限制某些操作：
    1)打开我的电脑；
    2)关闭系统；
    3)注销用户；
    4)开启OICQ(在OICQ开启下限制发送信息)；
    5)拔号上网(拔号连接后此功能无效)；
    6)使用outlook express；
    7)隐藏了开始菜单；
    8)开启C:盘完全共享......等，最后关闭计算机。
    9)程序运行环境：win9x/NT/2000
    程序流程：
    1)将自己拷贝到windows\system下;
    2)在注册表的run项中添加一项“cubstars c:\windows\system\regwi2.2.exe”。

    2．木马病毒Trojan.cssrs /Trojan.cssrsexe，驻留运行。

    程序流程：
    1)运行后在windows\system下生成一个名为cssrs.exe和cssrs.dll的文件。
    2)将注册表的\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\run中增加一项"ierun c:\windows\system\IEthief.exe"以便在windows启动时将它启动。

    3．木马病毒Trojan.keruw，依赖系统WIN98,winnt，驻留运行。

    程序流程：
    1)运行gift.exe后，gift.exe会在windows\system下释放出一个wry.exe的文件，wry.exe会将自己拷贝到windows下并改名为keruw.exe。
    2)在注册表的RUN中增加一项“Update d:\windows\keruw.exe”。

    4．木马病毒trojan.license，依赖系统Win98，驻留运行。

    程序流程：
    1)在win98下运行后将自己改名为license.exe 并拷贝到C:\WINDOWS\SYSTEM下；
    2)在 win2000下运行后将自己改名为license.exe 并拷贝到C:\WININ\SYSTEM32下；
    3)将注册表的RUN中增加一项“MONITRO C:\WINDOWS\SYSTEM\LICENSE.EXE。

    5．木马病毒Trojan.system32.a，依赖系统Win98，驻留运行。

    程序流程：
    1）运行此程序后，它将自己分别改名为system32.exe和tel.exe ，然后拷贝到c:\windows\system下；
    2）在注册表的RUN中增加一项“默认 c:\windows\system\system32.exe”。已达到自行启动的目的。

    6．木马病毒Trojan.tasksvc，依赖系统Win98/WinNT，驻留运行。

    程序流程：
    1)WIN98：运行此程序后，它将自己改名为tasksvc.exe和sysexpl.exe,拷贝到c:\windows\system下；
    2)在注册表的run中增加一项“network services c:\windows\system\tasksvc.exe” ；
    3)将txtfile 改为c:\windows\system\sysexpl.exe。

    7．病毒Win32.GoDog，依赖系统WIN32，感染PE文件。

    感染：修改文件入口，将自己添加到文件尾。
    查杀毒：原入口被保存在距文件入口0x6714处。需解密一次。

    8．木马病毒Trojan.OICQLove，依赖系统Win9x/Win2k，驻留内存。执行木马后，界面无反应。

    感染：
    1)释放两个文件，一个为它本身，另一个是ImeKernel32.DLL。
    2)修改注册表,使之自动运行。
    3)自动发送电子邮件，并将病毒附着成附件。
    发作：
    由于Hook了某些函数，所以所有应用程序进程启动后均自动寻找OICQ目录，使系统不稳定以及效率降低。
    程序流程：
    1)释放两个文件；
    2)驻留内存；
    3)修改注册表。
    查杀毒：查病毒可执行文件特征码、内存，并查ImeKernel32.dll特征码。查到后直接删除。

    9．木马病毒Trojan.QQLicence，依赖系统Win9x/Win2000，驻留内存。

    感染：
    1)伪装成ACDSee图片，运行后复制自己到%system%\licence.exe；
    2)释放一张Jpeg图片，让用户误以为打开了一张图片。
    3)木马修改注册表使之自动执行。
    发作：
    1)驻留内存，对Winsock进行控制，从而发送自己。
    2)截取QQ口令
    程序流程：
    1)释放Jpeg图片；
    2)启动图片；
    3)复制自身到%system%目录；
    4)修改注册表。
    查杀毒：查Licence.exe的特征码，查到后删除。

【反病毒论坛】【网络安全论坛】【客户支持论坛】【关闭窗口】

信息安全　源自瑞星