减小字体
增大字体- ·上一篇文章:轻松下载Flash里的画中画
- ·下一篇文章:Linux系统下的网络监听技术
“假警察”用“震荡波”传播
一、病毒评估
1.病毒中文名:假警察
2.病毒英文名:Worm.Win32.Dabber.a
3.病毒别名:Worm.Win32.Dabber.A (AVP)
4.病毒大小:29,696字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:系统漏洞/后门
8.病毒依赖系统:Windows 9X(可感染,但无危害)NT/2000/XP(可危害)
二、技术细节
1.复制自己到系统目录并实现自启动
病毒运行后,将自己复制到%SYSTEM%目录,c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe,病毒使用"sas4dab"为互斥量。
2.试图清除一些病毒的注册表键值:
尝试删除注册表Run项中的以下键值,使之不能正常启动:
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
java图片
1.病毒中文名:假警察
2.病毒英文名:Worm.Win32.Dabber.a
3.病毒别名:Worm.Win32.Dabber.A (AVP)
4.病毒大小:29,696字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:系统漏洞/后门
8.病毒依赖系统:Windows 9X(可感染,但无危害)NT/2000/XP(可危害)
二、技术细节
1.复制自己到系统目录并实现自启动
病毒运行后,将自己复制到%SYSTEM%目录,c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe,病毒使用"sas4dab"为互斥量。
2.试图清除一些病毒的注册表键值:
尝试删除注册表Run项中的以下键值,使之不能正常启动:
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
java图片