病毒类型:特洛伊木马
病毒长度:72,397字节
影响系统:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP
不受影响的系统:DOS,Linux,Macintosh,Novell Netware,OS/2,UNIX,Windows 3.x
风险程度:低
破坏能力:中
感染能力:低
该病毒发作时:
1,将自身拷贝为System.exe,并保存在%Windir%或%System%文件夹下
2,在%System%文件夹下产生一个加密文件名为Plugin1.dat.
3,分别在如下注册表项修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加:
"system"="%System%\system.exe"
"system"="%Windir%\system.exe"
4,在如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
添加:
"stubpath"="%System%\system.exe s"
"stubpath"="%windir%\system.exe s"
5,创建如下注册条目以存储状态信息:
HKEY_CURRENT_USER\Software\Wget
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
6,收集被感染计算机的系统信息
7,尝试使用微软IE浏览器使用TCP端口1971连接到如下地址中的一个并发送收集的系统信息:
·firedragon.no-ip.com
·killvirus2002.serveftp.org
·222.65.219.234
8,等待攻击者发送命令。
清除方法:
进入到安全模式
按下Ctrl+Alt+Del组合键打开“任务管理器”
找到Plugin1.dat进程,右键单击它,选择“结束进程”
退出“任务管理器”
进入系统文件夹下,默认情况下该文件夹:Windows 95/98/Me为C:\Windows\system,Windows NT/2000为C:\Winnt\System32,Windows XP为C:\Windows\System32,找到Plugin1.dat并将其永久删除。
点击开始-->运行,输入
regedit
按回车进入注册表编辑器
定位到如下注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
在其右侧面板删除如下键值:
"system"="%System%\system.exe"
"system"="%Windir%\system.exe"
定位到如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
在其右侧面板,删除如下键值:
"stubpath" = "%System%\system.exe s"
"stubpath" = "%Windir%\system.exe s"
删除如下键:
HKEY_CURRENT_USER\Software\Wget
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
