[转帖]病毒播报(9月9日)

花落无声

1.Backdoor.ForBot.c
破坏方法：这是一个流行病毒，与sdbot，rbot，agobot病毒属于近亲，内部有很多相似代码。是一个集后门，蠕虫，黑客于一体的病毒。
运行后将自己拷贝到系统目录下，文件名为smsc.exe。
写注册表项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Win32 USB2 Driver : smsc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  Win32 USB2 Driver : smsc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunService
  Win32 USB2 Driver : smsc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Win32 USB2 Driver : smsc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
  Win32 USB2 Driver : smsc.exe
这样，每次开机病毒都能启动。
如果在2k系统下还会将自己注册为服务，使用户难以结束病毒进程。
遍历进程，查找并结束下列进程：
ACKWIN32.EXE，ADVXDWIN.EXE，AGENTSVR.EXE，ALERTSVC.EXE，ALOGSERV.EXE，AMON9X.EXE，ANTI-TROJAN.EXE，
ANTIVIRUS.EXE，ANTS.EXE，APIMONITOR.EXE，APLICA32.EXE，APVXDWIN.EXE，ATCON.EXE，ATGUARD.EXE，
ATRO55EN.EXE，ATUPDATER.EXE，ATWATCH.EXE，AUPDATE.EXE，AUTODOWN.EXE，AUTOUPDATE.EXE，AVCONSOL.EXE，
AVE32.EXE，AVGCC32.EXE，AVGCTRL.EXE，AVGNT.EXE，AVGSERV.EXE，AVGSERV9.EXE，AVGUARD.EXE，AVGW.EXE，
AVNT.EXE，AVP.EXE，AVP32.EXE，AVPCC.EXE，AVPDOS32.EXE，AVPM.EXE，AVPTC32.EXE，AVPUPD.EXE，
AVWIN95.EXE，AVWINNT.EXE，AVWUPD32.EXE，AVWUPSRV.EXE，AVXMONITOR9X.EXE，AVXMONITORNT.EXE，
AVXQUAR.EXE，AckWin32.EXE，AutoTrace.EXE，AvSynMgr.AVSYNMGR.EXE，AvgServ.EXE....共454个
连接到特定IRC服务器的特定频道，传递本地信息。
盗取本地游戏序列号，包括众多大型流行游戏。
能够对指定机器发起洪水攻击和拒绝服务(DOS)攻击。
通过局域网共享目录传播自身。


2.Trojan.QQrex.a
破坏方法：这是病毒：“QQ叛徒”的新变种，病毒采用delphi编写，ASPack压缩
一旦执行，病毒将进行如下操作：
复制自己到系统目录：
  %SYSDIR%\QQrwx.exe --->这是病毒主文件
  %SYSDIR%\sm.dll    --->这是病毒使用的DLL文件
病毒将修改注册表键值来使自己能随系统自启动
修改IE默认打开的主页

病毒通过监视QQ聊天程序的消息，看是否包含病毒的发送的命令，并通过检索消息来执行远程命令，可执行的命令为：
关闭电脑   --->把对方的电脑关闭  
注销用户   --->注销对方已经登录的用户  
电脑重启   --->重新启动对方电脑  
显示桌面   --->显示对方桌面上的图标  
隐藏桌面   --->隐藏对方桌面上的图标  
锁定桌面   --->锁定对方桌面，对方不能对桌面的图标进行操作  
解锁桌面   --->解除对对方电脑桌面的锁定状态  
锁定开始   --->隐藏对方电脑上的“开始”按钮  
解锁开始   --->解除对对方电脑“开始”按钮的锁定状态  
显示任务栏 --->显示对方电脑的任务栏  
隐藏任务栏 --->隐藏对方电脑的任务栏  
锁定任务栏 --->锁定任务栏中的所有任务  
解锁任务栏 --->解除对对方任务栏中的所有任务的锁定状态  
锁定启动栏 --->锁定对方电脑的快速启动一栏  
等等
例如消息："你会关闭电脑吗？"，由于当中包含“关闭电脑”，因此在感染此病毒的机器将执行命令关闭计算机。
破坏方法:
  1.修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinQQ" ＝ "%SYSDIR%\QQrwx.exe"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"start page" = "WWW.YX86.COM"

3.Backdoor.Rbot.kf
破坏方法：RBot病毒新变种。加了一种身份不明比较新的壳。
通过局域网共享目录传播自身。
传播成功后将自己拷贝到系统目录，文件名为videosd32.exe，然后修改注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
　　Win32 Configuration : videosd32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　Win32 Configuration : videosd32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
　　Win32 Configuration : videosd32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　Win32 Configuration : videosd32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　Win32 Configuration : videosd32.exe
这样，病毒能够开机自启动。如果是2k系统还会将自己注册为服务，使用户难以结束。
有后门功能，监听端口等待连接。
能向指定机器发起攻击。
获得本地详细的系统信息，包括CPU的频率在内。
查找多种游戏的序列号，大多是当前流行的大型游戏。
连接特定IRC服务器的特定频道，从而散播本地信息。

4.Trojan.Spy.QQLogger
破坏方法：记录OICQ聊天信息的木马病毒
VB编写的木马病毒。
病毒运行后有以下行为：
一、修改以下注册表键值：
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项："Microsoft Update"   数据值为："MSUPDATE.EXE"
二、终止以下杀毒软件以及防火墙程序的运行：
瑞星反病毒实时监控
瑞星个人防火墙 试用版 - rising personal firewall  
瑞星个人防火墙
蓝盾防火墙个人版
天网防火墙企业版
瑞星POP3邮件实时监控  
瑞星邮件监控
瑞星杀毒软件--定时查杀毒程序  
瑞星杀毒软件--POP3邮件实时监控  
Norton AntiVirus  
杀毒王KV3000  
Kavsvc  
KAV service UI  
金山毒霸2003  
金山毒霸2002  
木马克星
天网防火墙稳定版
金山网镖2003  
金山网镖2004  
金山网镖2002  
江民黑客防火墙
金山网镖 6  
Kingsoft AntiVirus Mail Monitor Proxy  
RavMon.exe
天网防火墙个人版
金山网镖
反黑王
三、记录OICQ的聊天内容，并将记录信息发送到指定信箱。

5.Worm.Win32.VB.c
破坏方法：通过枚举网络中的共享资源进行传播的蠕虫病毒。
病毒采用VB编写。
病毒运行后有以下行为：
一、释放三个文件到%SYSDIR%目录下，文件名分别为"MSUPDATE.EXE"、"QQGAMES.EXE"、"TOKYOGIR.MPG"（这三个都是木马病毒），并将其中的"MSUPDATE.EXE"和"QQGAMES.EXE"运行。
二、枚举网络中的共享资源，试图将自己复制到其他计算机的共享目录下。其文件名有以下可能：
"重要信息.exe"
"重要文件.exe"
"机密文件.exe"
"重要报表.exe"
"月报表.exe"
"DELL笔记本.exe"
"马自达7.exe"
"极品笑话.exe"
"精采短信大全.exe"
"精采精采真精采.exe"

心怿

关键是中毒后如何杀毒？俺的电脑是不是中毒了？（疑惑中。。。）

吟风听月

升级杀毒软件，运行程序，ok

心怿

今天开机俺的瑞星杀毒即时监控不启动了，在线升级也不行了，奇怪啊。。。

吟风听月

重新安装一下

心怿

好的，谢谢吟风～～