这是一个Win32平台下的感染型病毒,感染本地磁盘中的.exe文件,并连接网络下载其他病毒。
1.释放病毒文件到如下路径:
%SYSTEM%sysload3.exe
2.修改注册表,添加如下键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
“SystemBootCheck”=“C:WINDOWSsystem32sysload3.exe”
尝试删除如下键值
HKCUSoftwareMicrosoftWindowsCurrentVersionRuninternat.exe
3.起IE进程,注入病毒代码,连接网络下载病毒配置文件
配置文件:http://a.2007**.com/css.css,内容如下
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com
4.读取配置文件下载病毒。
5.读取配置文件,当发现病毒新版本时,下载更新。
6.启NOTEPAD进程,便利本地磁盘,感染大小在10K---10M之间的.exe文件,感染后图标不变,使病毒难以被察觉。
7.修改host文件,屏蔽如下网站:
127.0.0.1localhost
127.0.0.1mmm.caifu18.net
127.0.0.1www.18dmm.com
127.0.0.1d.qbbd.com
127.0.0.1www.5117music.com
127.0.0.1www.union123.com
127.0.0.1www.wu7x.cn
127.0.0.1www.54699.com
127.0.0.160.169.0.66
127.0.0.160.169.1.29
127.0.0.1www.97725.com
127.0.0.1down.97725.com
127.0.0.1ip.315hack.com
127.0.0.1ip.54liumang.com
127.0.0.1www.41ip.com
127.0.0.1xulao.com
127.0.0.1www.heixiou.com
127.0.0.1www.9cyy.com
127.0.0.1www.hunll.com
127.0.0.1www.down.hunll.com
127.0.0.1do.77276.com
127.0.0.1www.baidulink.com
127.0.0.1adnx.yygou.cn
127.0.0.1222.73.220.45
127.0.0.1www.f5game.com
127.0.0.1www.guazhan.cn
127.0.0.1wm,103715.com
127.0.0.1www.my6688.cn
127.0.0.1i.96981.com
127.0.0.1d.77276.com
127.0.0.1www1.cw988.cn
127.0.0.1cool.47555.com
127.0.0.1www.asdwc.com
127.0.0.155880.cn
8.检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。
(责任编辑:飞羽)
相关文章
