简介
五毒虫是一个包括邮件蠕虫、漏洞蠕虫、后门、QQ尾巴等行为于一身的混合病毒
使用教程
1、 双击下载的文件,运行3721五毒虫病毒专杀工具;
2、 启动专杀工具后,点击主界面中的查杀按钮,即可进行查杀。
技术细节
以下为该病毒的行为:
A、病毒运行后会将自身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
B、在系统安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%Windir%\suchost.exe
%System%\spollsv.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
C、在注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%system%\spollsv.exe"
对注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
修改如下键值
"默认"="vptray.exe %1"
在注册表主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
下添加如下键值:
"SystemTra"="%Windor%\SysTra.EXE"
"COM++ System"="suchost.exe"
对于win98/me系统 会对%system%\win.ini文件内添加如下内容:
run=%System%\RAVMOND.exe
D、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务,服务对应的病毒文件为msjdbc11.dll,入口参数为ondll_server。
E、随机开启一个端口,作为后门。
F、收集系统信息,存为C:\NETLOG.TXT,每行均以NETDI做为开头
G、复制自身到所有共享目录中,文件名可能是以下之一:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为:I090909!
H、会在网络映射磁盘或可移动磁盘中搜索EXE文件,替换原文件,并将原文件改名为~ex,同时生成tools.rar,压缩包中包括Tools.scr文件为病毒程序。
解决方案
推荐解决方案
请下载使用3721五毒虫病毒专杀工具,即可清理该病毒及其变种。
手工解决方案
暂时没有手工清除方法,建议使用3721五毒虫病毒专杀工具进行清除。
----------------------------------------------------------------------
评论