该病毒运行后,连接网络下载病毒体到本机运行。添加注册表自动运行项以随系统引导病毒体。病毒运行后监听网络,等待接收指令。受感染用户可能会被利用进行各种恶操作。
该病毒运行后,连接网络下载病毒体到本机运行。添加注册表自动运行项以随系统引导病毒体。病毒运行后监听网络,等待接收指令。受感染用户可能会被利用进行各种恶操作。
1 、 衍生病毒文件:
%WinDir%systemsmss.exe
%documents and Settings% 当前用户名
Local SettingsTemp2exinjs.aa.exe
2 、 新建下列册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun.nvsvc
Value: String: "%WinDirsystemsmss.exe /w"
3 、 连接下列地址下载病毒体:
(66.197.23*.3*) /up/injs.aa.exe
4、 连接的 IRC 服务器地址:
numegaserver (66.7.2*0.24*)
5、 连接 IRC 服务器后的交互如下:
NICK jfac-1_9127_1268
USER jfac-1_9127_1268
"jfac-1_9127_1268"
:jfac-1_9127_1268
:numegaserver 001
jfac-1_9127_1268
:Welcome to the SOMEnet IRC Network
jfac-1_9127_1268!~jfac-1_91@222.171.7.213
:numegaserver 002 jfac-1_9127_1268
:Your host is numegaserver, running version
ircd(Bahamut-1.4.35)-1.1(01)-02
:numegaserver 003 jfac-1_9127_1268
:This server was created Thu Feb 8 2007
at 15:11:12 UTC
:numegaserver 004
jfac-1_9127_1268
numegaserver ircd
(Bahamut-1.4.35)-1.1(01)-
02 oOiwscrRkKnfydaAbgheFjH
biklLmMnoprRstvc7BeEwxX
:numegaserver 005
jfac-1_9127_1268
NOQUIT WATCH=128 SAFELIST MODES=6
MAXCHANNELS=20 MAXBANS=100
NICKLEN=30 CHANNELLEN=32
TOPICLEN=307 KICKLEN=307
CHANTYPES=# PREFIX=(ov)@+
STATUSMSG=@+ NETWORK=SOMEnet
SILENCE=10 EXCEPTS
CHARSET=ascii
CHANMODES=bBeEX,k,l,7chiLmMnOprRstwx
CODEPAGES 8BNICKS=YES
MANICKS=YES MAWNICKS=YES
8BNCI=YES 8BCNCI=YES
NICKIDEN :are available
on this server
// 服务器返回信息
:numegaserver 251 jfac-1_9127_1268
:There are 28 users and 0 invisible
on 1 servers
:numegaserver 255 jfac-1_9127_1268
:I have 28 clients and 0 servers
:numegaserver 265 jfac-1_9127_1268
:Current local users: 28 Max: 39
:numegaserver 266 jfac-1_9127_1268
:Current global users: 28 Max: 39
:numegaserver 422 jfac-1_9127_1268
:MOTD File is missing
:jfac-1_9127_1268 MODE jfac-1_9127_1268
:+i
// 下载文件
:numegaserver 700
jfac-1_9127_1268 ISO8859-5
:is now your translation scheme
:inj1!~devel@66.7.200.245 PRIVMSG
jfac-1_9127_1268 :exec
/injs.aa.exe?jfac-1_9127_1268
injs.aa.exe 1268
// 保持连接
PING :numegaserver
PONG :PING :numegaserver
PONG :
6、 此文件用来监听网络:
%documents and Settings% 当前用户名
Local SettingsTemp2exinjs.aa.exe
7 、病毒可能会修改下列注册表键值以穿过 Windows 防火墙:
HKLMSYSTEMCurrentControlSet
ServicesSharedAccessParameters
FirewallPolicyStandardProfile
AuthorizedApplicationsList',键值:0
8 、病毒试图关闭或停止下列安全服务:
KAVPersonal50
Wuauserv
Navaps
Symantec Core LC
SAVScan
Kavsvc
Wscsvc
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
%WinDir%systemsmss.exe
%documents and Settings% 当前用户名
Local SettingsTemp2exinjs.aa.exe
(2) 删除并恢复病毒添加与修改的注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun.nvsvc
Value: String: "%WinDirsystem
smss.exe /w"
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
键值 : 字串: " QQ " = " %WINDIR%QQ.exe "
(4) 删除病毒释放文件:
%WinDir%systemsmss.exe
%documents and Settings% 当前用户名
Local SettingsTemp2exinjs.aa.exe
温馨提示:
