少点炒作,多搞点技术分析,也是广告,但是体现技术,多好
来源:瑞星公司
这是一个Virutal Basic编写的蠕虫病毒,用UPX加壳程序进程保护,
“VB蠕虫变种MQ”病毒技术细节
。该病毒运行后,首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\Documents and Settings\All Users\「开始」菜单\程序\启动).
接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\system,\web,\fonts,\temp,\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,
taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.
病毒会修改注册表项,达到隐藏文件的目的.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"HideFileExt" = 0X00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"Hidden" = 0X00000000
病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.
如:
cmd /c net share C$=c:\
cmd /c net share D$=d:\
将计算机的C盘和D盘共享.
cmd /c net user admin /add
添加一个"admin"的用户
cmd /c net localgroup administrators admin /add
将"admin"的用户加入到本地的administrators组中,得到最大的控制权
病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为"command.com") 和autorun.inf.其中autorun.inf的内容为:
[autorun]
PEN=Comand.com
Shellexecute=comand.com
Shell\explorer\command=comand.com
病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.
总结:这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次,
电脑资料
《“VB蠕虫变种MQ”病毒技术细节》(https://www.unjs.com)。2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
1 . 瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.19.42版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。