双击或打开移动存储设备的时候,就自动转到了"我的文档".只能用资源...
发布网友
发布时间:2024-10-01 20:50
共1个回答
热心网友
时间:2024-10-17 19:32
基本的特征为:病毒文件的图标为文件夹图标,除了病毒邮件外,还会通过移动存储设备传播。主要传播途径为U盘和电邮。
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
感染病毒后,生成以下文件:
%User%\Local Settings\Application Data\csrss.exe
%User%\Local Settings\Application Data\inetinfo.exe
%User%\Local Settings\Application Data\lsass.exe
%User%\Local Settings\Application Data\services.exe
%User%\Local Settings\Application Data\smss.exe
%User%\Local Settings\Application Data\winlogon.exe
%WinDir%\SHELLNEW\ElnorB.exe
%systemroot%\system32\<用户名>'s Setting.scr
%systemroot%\system32\system's Setting.scr
%systemroot%\Tasks\At1.job
%启动%\empty.pif
修改%systemdrive%\autoexec.bat文件,内容为:pause
添加启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<"%User%\Local Settings\Application Data\smss.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<"%systemroot%\ShellNew\ElnorB.exe">
添加启动文件:%启动%\empty.pif
添加一个计划任务:%systemroot%\Tasks\At1.job,每天17:08激活病毒文件
添加或修改以下注册表项以禁用CMD,禁用注册表编辑器,隐藏文件夹选项菜单:
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableCMD: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000
病毒激活后,遍历硬盘,搜索以下类型的文件,获得邮箱地址,以伪造的邮件地址向外发送带毒邮件:HTM HTML TXT WAB ASP PHP CFM CSV DOC
调用ping.exe(ping playboy.com- n 250 -l 747)和net.exe(net view)
如果窗口标题含有“CMD”等字符串时,会自动重启电脑
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
热心网友
时间:2024-10-17 19:35
基本的特征为:病毒文件的图标为文件夹图标,除了病毒邮件外,还会通过移动存储设备传播。主要传播途径为U盘和电邮。
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
感染病毒后,生成以下文件:
%User%\Local Settings\Application Data\csrss.exe
%User%\Local Settings\Application Data\inetinfo.exe
%User%\Local Settings\Application Data\lsass.exe
%User%\Local Settings\Application Data\services.exe
%User%\Local Settings\Application Data\smss.exe
%User%\Local Settings\Application Data\winlogon.exe
%WinDir%\SHELLNEW\ElnorB.exe
%systemroot%\system32\<用户名>'s Setting.scr
%systemroot%\system32\system's Setting.scr
%systemroot%\Tasks\At1.job
%启动%\empty.pif
修改%systemdrive%\autoexec.bat文件,内容为:pause
添加启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<"%User%\Local Settings\Application Data\smss.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<"%systemroot%\ShellNew\ElnorB.exe">
添加启动文件:%启动%\empty.pif
添加一个计划任务:%systemroot%\Tasks\At1.job,每天17:08激活病毒文件
添加或修改以下注册表项以禁用CMD,禁用注册表编辑器,隐藏文件夹选项菜单:
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableCMD: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000
病毒激活后,遍历硬盘,搜索以下类型的文件,获得邮箱地址,以伪造的邮件地址向外发送带毒邮件:HTM HTML TXT WAB ASP PHP CFM CSV DOC
调用ping.exe(ping playboy.com- n 250 -l 747)和net.exe(net view)
如果窗口标题含有“CMD”等字符串时,会自动重启电脑
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
