病毒运行后会进行以下操作:
1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行;
2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的;
3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件;
4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截;
5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站;
6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动;
7、枚举网络计算机的用户名和自带的密码表,利用 IPC$; ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP。通过访问http://www.google.com、http://www.baidu.com等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者不更新。
解决方法:
1、及时更新微软系统补丁(最新微软漏洞补丁参见“瑞星微软安全公告);
2、发现上述关键系统服务被非人为修改为手动时,及时修改成原系统状态,配合杀毒软件查毒(瑞星全功能安全软件2009 30天免费试用:http://rsdownload.rising.com.cn/for_down/rsfree/RavD97.exe);
3、局域网中计算机统一规定不能使用弱密码或者空密码(更多安全知识参见“瑞星安全频道);
4、及时升级本机杀毒软件。
;
;
标签: 病毒
