“黑客学徒291840”病毒专杀
病毒介绍:
病毒别名:WIN32.Vking.cc.291840
中文名称:黑客学徒291840
威胁级别:★★★
病毒类型:木马程序
病毒长度:291840
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
这是一个黑客木马程序的变种,它参考了维金病毒的一些技术,试图对中毒电脑实行远程控制.
病毒行为:
这个病毒是黑客木马程序.它通过感染exe格式文件来进行传播,如果发作,就会关闭许多常见安全软件的进程,然后连接病毒作者指定的远程地址.
1.病毒运行时将自身拷贝至%SYSTEM32%\Drivers\suchost.exe,修改注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run作为其启动项.并修改
以隐藏文件,通过修改注册表中的相关数据,将其设置为隐藏文件,避免被用户发现.同时,把它添加到注册表的启动项中,实现开机自启动.
2.病毒接下来会启动感染线程.感染时,它将正常文件附加在自己文件的末尾,这样当用户运行正常文件时,它就能抢先运行起来,然后再释放出原始文件并执行.因为这个过程只不过是一瞬间的事,用户不会察觉.不过,有一个特征值得留意,就是该毒会在它到过的每个文件夹内创建文件Desktop_.ini,内容为当天日期.
3.病毒尝试删除以下注册表键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP
4.病毒尝试删除以下服务:
kavsvc
McShield
McTaskManager
McAfeeFramework
navapsvc
wscsvc
KPfwSvc
SNDSrvc
5.完成以上工作,病毒就会尝试删除麦咖啡、卡巴斯基、赛门铁克、金山毒霸、NOD32、SSM、SREng、Network Associates、冰刃等安全软件服务进程.当失去安全软件的监控,病毒就可以自由地连接病毒作者指定的远程地址 ,下载最新的更新文件,并等待病毒作者的指令,帮助黑客控制中毒电脑.病毒调用WinExec删除共享(cmd.exe /c net share admin$ /del /y)
6.病毒修改注册表HKCR\HTTP\shell\open\command为”C:\Program Files\InternetExplorer\iexplore.exe” -nohome,并在后台启动并访问.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
