“愤怒肉鸡19825”专杀
病毒基本介绍:
病毒名称:“愤怒肉鸡19825”
中文名称:PE.Trafaret.a.19825
威胁级别:★★☆☆
病毒类型:黑客程序
长度:56102字节
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为介绍:
被这个病毒感染的exe文件,体积会有所增大,文件的启动入口被修改为到病毒的后面.这样,当用户运行被感染文件时,病毒就能运行起来.它首先解密自己的文件,将主文件Services.exe释放到%WINDOWS%目录下.然后立即调用正常文件运行,让用户察觉不出系统异常. 这很明显属于DDNO网络攻击,是一种黑客行为
1, 被感染文件,文件体积增大,入口被直接修改为病毒代码所在处;
2, 病毒运行时异或解密病毒自身其余代码,并转入执行;
3, 病毒异或解密自身携带的文件,并释放至%SystemRoot%\Services.exe,然后执行此文件.被释放出的Services.exe,会使用当前系统信息计算得到一个随机名称的文件夹,然后把自己复制到里面.
4, 病毒读取自身保存的原始入口,并转入执行.这个随机文件夹会被创建在%WINDOWS%\system32\目录下.接着,病毒就修改注册表,添加该文件为启动项,让自己实现开机自动运行.
5, 释放出的Services.exe使用当前系统信息计算得到目录名并把自己复制到%SystemRoot%\system32\(刚刚生成的目录名)处,并修改注册表添加启动项(HKLM\SOFTWARE\MICROSOFT\CurrentVersion\Run).
6,Services.exe枚举当前进程,若进程名包含特定字符串则尝试停止该进程.并且它会不停的重写注册表,防止自己的数据被破坏.如果能顺利运行起来,病毒就枚举当前进程,若发现主流安全软件及反病毒工作者常用的解密工具的进程,便尝试强行停止它们.
7, 病毒读取自身携带的ip列表,向里面的地址不断发送访问命令,从而影响这些网址的正常运作.
8, 病毒启动感染线程.与此同时,病毒启动感染线程,在中毒电脑上寻找正常的exe文件,将它们感染,以便等待下一次的传播.
9,病毒检查自身携带的列表,并尝试更新自身.
10,病毒重复写注册表中自身的启动项.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
