WORM.WIN32.DOWNLOAD.B

WORM.WIN32.DOWNLOAD.B_3分词条

Worm.Win32.DownLoad.b
瑞星将该病毒定义为:Worm.Win32.DownLoad.b
病毒所包括的源文件有
c:\autorun.inf
c:\niu.exe
c:\WINDOWS\system32\Autorun.inf
c:\WINDOWS\system32\crsss.exe
以及其它所有盘根目录下有
autorun.inf
niu.exe
其中autorun.inf文件里的内容为
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.EXE
修改系统时间为2000年
添加注册表启动项指向c:\WINDOWS\system32\crsss.exe
rem 添加以下注册表项,禁用任务管理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
键值: DWORD: 1 (0x1)
rem 添加以下注册表项,禁用Windows更新程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate DisableWindowsUpdateAccess
键值: DWORD: 1 (0x1)
rem 添加映像关联,导致杀毒软件无法使用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

rem 修改注册表项,导致无法显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN Text
旧: 字符串: "@shell32.dll,-30501"
新: 字符串: "禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽."

rem 修改注册表项,导致无法显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue
键值: 字符串: "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HelpID
键值: 字符串: "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HKeyRoot
键值: DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL RegPath
键值: 字符串: "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Text
键值: 字符串: "@shell32.dll,-30500"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Type
键值: 字符串: "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL ValueName
键值: 字符串: "Hidden"
rem 删除进入安全模式的注册表项,导致你进入安全模式就会蓝屏
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ 默认
键值: 字符串: "DiskDrive"
清除niu病毒(病毒源文件包括autorun.inf,niu.exe,crsss.exe)

附图

上传图片 

互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。如需转载,请注明来源于www.hudong.com

被引用: 本词条已被如下媒体引用 我来补充
开放分类: 我来补充

讨论区

更多>>

编辑者

共1人协作

相关词条

知识云 完善
水秀阁
Trojan-Spy.Win32.VB.my
Trojan-PSW.Win32.Lmir.atv
网络天空病毒
RDO
木马病毒
小邮差病毒
Trojan-Spy.Win32.VB.oe
Trojan-PSW.Win32.Nilage.bcw
asp
更多

Copyright © 2005-2009 hudong.com Ltd. All Rights Reserved. 互动在线 版权所有