危险等级:★★★
/ W* z/ ^4 W' I$ `, a" D# S病毒名称:Worm.Win32.KillAV.b
( t+ }9 L# R9 }% @1 O; H% ~截获时间:2008.03.06
5 Q6 U$ _2 R" Z1 K, |3 A类型:病毒
, P- N, j! G2 j( g5 f感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000! ~! x. w1 T5 P% {* K8 `
威胁情况:
( P" a8 g" [! V) T0 j6 _9 Y传播级别:中
& f" r6 n5 v3 i2 {清除难度:困难% a3 r% G) Q& Q! n; C
破坏力:低
. f; ?. n7 x* X) N8 {2 I( s: m2 }; h. U9 o* b
这是一个Delphi编写的蠕虫病毒,病毒主文件的分析如下:
/ H9 [ l/ {& ?! B- ?$ x0 X 该病毒文件运行后会将创建一个互斥量保证系统中只有一个自身副本在运行,运行后病毒会检测系统中是否存在互联网连接,只有存在互联网连接的情况下,才做后面的事情。
8 n' b4 B8 H; `+ J3 `1 G/ r 检测到连接后,病毒会枚举当前窗体,如果窗体名称含有常见反病毒软件或工具(如:瑞星,金山等)就会关闭当前窗口;接着病毒会枚举当前系统中是否含有AVP或360的进程,如果发现,会调整系统日期,关闭AVP监控。解除系统保护之后,病毒会去访问一个有漏洞的网站,下载木马病毒到本地执行,同时还会在SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中添加常用反病毒软件或工具的进程名称,拒绝这些软件或工具,最后病毒会遍历系统中的可移动存储设备,并向这些设备中写入自动运行的脚本,达到传播目的。 |
