扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:网络转载 2009年4月16日
病毒的几个功能:
1.密码试探攻击:
病毒利用ipc进行guest和Administrator账号的简单密码试探。(使用如12345678,abcdef,888888)如果成功将自己复制到对方的系统中文件路径为:sytem32\stg.exe并注册成服务服务名为:
Window Remote Service
2.放出后门程序:
病毒从自身体内放出一个dll文件负责建立远程shell后门。
3.盗用密码:
病毒放出一个名为win32vxd.dll的文件(hook函数)用以盗取用户密码。
4.后门
病毒本身也将建立一个后门,等待用户连入。
5.局域网传播:
病毒穷举网络资源,并将自己复制过去。文件名为随机的选取,病毒体内的文件名有以下几种可能
humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE
SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe
joke.exe,images.exe,pics.exe
6.邮件地址搜索线程,病毒启动一个线程通过注册表:
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。
7.发邮件
病毒利用mapi及搜出的email地址,进行邮件传播。邮件标题随机从病毒体内选出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
杀毒后的系统恢复。
杀毒完成后打开D、E、F、G盘的时候,系统提示找不到Command.exe。看了就知道是用Autorun.inf文件的方法实现的,这个文件的建立方法是,先新建一个文本文件,在里面输入
[autorun]
open=Command.exe //command.exe是要打开的文件名称
icon=Command.ico //Command.ico是文件的图标。
这样的文件一般放在分区的根目录下,通常光盘要实现自动播放也是用这个文件。
于是在浏览器中输入 d:\进入D盘
可是找到autorun.inf文件,用显示所有的选项也没有找到。
没办法只好转到CMD环境下,用DIR /A命令终于看到了
用attrib命令去掉autorun文件的系统和隐藏属性,attrib autorun.inf -s -h
然后del autorun.inf
修复注册表
在注册表中查找Command.exe,找到后连同上面的shell子键一起删除就行了。
其余各盘的设置也是一样的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。