Worm.Win32.Delf.bo行为分析
发布网友
发布时间:2024-10-19 10:38
我来回答
共1个回答
热心网友
时间:2024-11-09 23:04
病毒在系统目录下衍生文件,包括:%system32%\death.dll、%system32%\death.exe、%system32%\death.sishen。这些文件的放置位置会根据操作系统不同而变化。在Windows2000/NT下默认为C:\Winnt\System32,在Windows95/98/me下默认为C:\Windows\System,而在WindowsXP下默认为C:\Windows\System32。
病毒修改注册表,添加启动项,以达到随机启动目的,具体键值和路径为:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,键值设置为"Death.exe",指向C:\WINDOWS\system32\Death.exe。
病毒尝试结束杀毒软件及辅助工具的进程,包括但不限于PasswordGuard.exe、KVXP.KXP、KVMonXP.KXPSymantec AntiVirus 企业版、Symantec AntiVirus 企业版、RavMon.exe、RavMonClassTfLockDownMain、TfLockDownMain、ZoneAlarm、ZAFrameWnd、天网防火墙个人版、Tapplication、天网防火墙企业版、Tapplication、VirusScan、Symantec AntiVirus、Duba、Wrapped gift KillerIceSword、IceSword、pjf(ustc)、TForm1、噬菌体、木马克星、EGHOST.EXE、KAVPFW.EXE等。
病毒结束威金病毒的进程,包括Logo1_.exe、Logo_1.exe、Rundl132.exe。
病毒开启IEXPLORER.EXE进程,将病毒衍生的文件death.dll插入其中。
病毒在指定时间向外发送攻击包。
总结而言,该病毒通过在系统关键位置创建和修改文件、修改注册表、尝试结束其他进程、开启特定进程和发送攻击包,以实现其恶意目的。其行为不仅对系统安全构成威胁,也对用户数据和隐私安全造成潜在风险。