bronstab.exe是W32.Rontokbro.D@mm蠕虫病毒程序的一部分病毒运行以后, 在windows目录下建立shellnew目录把自己复制进去,起名为bronstab.exe,并设置文件属性为隐藏 把自己复制到windows目录下,名字为:eksplorasi.exe,并设置文件属性为隐藏 把自己复制到application data,名字为:smss.exe 把自己复制到application data,名字为:services.exe 把自己复制到application data,名字为:lsass.exe 把自己复制到application data,名字为:inetinfo.exe 把自己复制到application data,名字为:csrss.exe 在注册表启动项添加 bron-Spizaerus" c:\\windows\\shellnew\\bronstab.exe 在注册表启动项添加 Tok-Cirrhatus" application data,名字为:smss.exe 在system.ini下添加BOOT shell=explorer.exe c:\\windows\\eksplorasi.exe 修改注册表值:current_user\\software\\microsoft\\windows\\currentversion\\Explorer\\Advanced HideFileExt:0x00000001,隐藏文件扩展 修改注册表值:current_user\\software\\microsoft\\windows\\currentversion\\Explorer\\Advanced Hidden:0x00000000,不显示隐藏文件 修改注册表值:current_user\\software\\microsoft\\windows\\currentversion\\Explorer\\Advanced ShowSuperHidder:0x00000000 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer,中建立NoFolderOptions,屏蔽“文件夹选项” HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\中建立disableCMD,屏蔽CMD方式 建立注册表值:current_user\\software\\microsoft\\windows\\currentversion\\policies\\system disableregistrytools:0x00000000,屏蔽注册表编辑工具 病毒启动以后,会创建几个线程 1.根据本地得到的信息,在后台访问网站,连接网站:http://www.geocities.com/ 2.删除当前所有的任务计划,并建立一个新任务计划,就是每天的17:08分运行自己 在c盘下建立autoexec.bat,在其中添加pause的命令,并设置文件隐藏属性 3.每隔一定的时间,会在自己复制到移动磁盘上,图标为文件夹图标,误导用户点击,达到传播目的 4.用net view查看当前网络中的共享信息,访问并试图把自己复制到其他的计算机上 用TASKKILL命令结束当前运行的安全软件的进程并删除host文件 5.隐藏方式执行CMD命令,向两个网站不间断的发送PING包 6.在磁盘根目录上建立一个包含病毒基本信息的HTML文件,查找计算机中的后缀名为DOC文件,并在其中插入“KANGEN”字符串,查找计算机中的后缀名为PDF,XLS,PPT文件,设置其为隐藏属性 7.病毒搜索磁盘文件并从中提取mail地址.将以色情网站的名义,把自己夹带到附件中,群发邮件,达到传染的目的 病毒将忽略地址中带有以下字串的地址: SECURE,SUPPORT,MASTER,MICROSOFT,VIRUS,HACK, CRACK,LINUX,AVG,GRISOFT,CILLIN,SECURITY,SYMANTEC, ASSOCIATE,VAKSIN,NORTON,NORMAN,PANDA,SOFT,SPAM, BLAH,.VBS,DOMAIN,HIDDEN,DEMO,DEVELOP,FOO@,KOMPUTE CNET,DOWNLOAD,HP.,XEROX,CANON,SERVICE,LOTUS,MICRO,TREND,SIEMENS,FUJITSU,NOKIA ALADDIN,ALERT,BUILDER,DATABASE,AHNLAB,PLAB,IEEE,KDE,TRACK,INFORMA,FUJI,@MAC,SLUSERNAME,IPTEK,CLICK,SALES,PROMO...
提问者对答案的评价:
您好~
我刚到瑞星的网上查了下病毒库~没有搜索到,您切定是病毒么? |
