• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

移動存貯設備傳播千足蟲病毒破壞系統註冊表

【賽迪網-IT技術報道】在今天的病毒中Win32/Kdcyy.bk「千足蟲」變種bk和Trojan/PSW.OnLineGames.wfv「網游竊賊」變種wfv值得關注。

病毒名稱:Win32/Kdcyy.bk

中 文 名:「千足蟲」變種bk(又名「磁碟機」)

病毒長度:95744字節

病毒類型:蠕蟲

危險級別:★★

影響平台:Win 9X/ME/NT/2000/XP/2003

Win32/Kdcyy.bk「千足蟲」變種bk是「千足蟲」家族的最新成員之一,採用VC++ 6.0編寫, 並經過加殼保護處理。「千足蟲」變種bk運行後,會在被感染計算機系統的「%SystemRoot%/system32/com/」目錄下釋放病毒組件文件「lsass.exe」、「smss.exe」、「netcfg.000」和「netcfg.dll」,還會在被感染計算機系統的「%SystemRoot%/system32/」目錄下釋放病毒組件文件「dnsq.dll」。利用驅動程序來恢復SSDT Hook,使某些安全軟體的監控失效。強行關閉大部分殺毒軟體和安全工具軟體。被感染計算機系統會經常死機或長時間卡住不動。利用「ARP病毒」在局域網中進行自我傳播。感染除系統盤外所有盤符下的EXE可執行文件、網頁文件、RAR和ZIP壓縮包中的文件等(加密感染),感染後的程序變為16位的圖標,圖標變模糊,類似於馬賽克。一旦發現與安全相關的窗口存在,強行將其關閉。在所有盤符下生成「autorun.inf」和病毒體,並且對這些文件進行實時檢測保護,利用移動設備進行傳播。破壞註冊表,致使用戶無法進入「安全模式」、無法查看隱藏的系統文件,致使註冊表啟動項失效。修改註冊表,實現開啟自動播放的功能。強行刪除所有安全軟體的關聯註冊表項,使其無法開啟監控。利用進程守護技術,將病毒的「lsass.exe」、「smss.exe」進程主體和DLL組件進行關聯,實現進程守護,一旦病毒文件被刪除或被關閉,便馬上生成並重新運行。以系統級權限運行,部分進程使用了進程保護技術。利用控制台命令來設置病毒程序文件的訪問運行權限。利用了重啟移動文件的技術,在用戶重新啟動計算機時,會把病毒主程序體移動到系統[啟動]文件夾中,實現開機自啟動。「千足蟲」變種bk會在被感染計算機系統的後台訪問駭客指定的廣告站點,進行提升訪問量,刷網絡排名等操作。另外,「千足蟲」變種bk還可以自升級。

病毒名稱:Trojan/PSW.OnLineGames.wfv

中 文 名:「網游竊賊」變種wfv

病毒長度:8173字節

病毒類型:木馬

危害等級:

影響平台:Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.OnLineGames.wfv「網游竊賊」變種wfv是「網游竊賊」木馬家族的最新成員之一,採用VC++ 6.0編寫,並經過加殼保護處理。「網游竊賊」變種wfv運行後,自我插入到被感染計算機系統的「explorer.exe」進程中加載運行,隱藏自我,防止被查殺。修改註冊表,實現木馬開機自動運行。在被感染計算機系統的後台利用HOOK和記憶體截取等技術盜取網絡遊戲《戰魂 Online》玩家的遊戲賬號、遊戲密碼、倉庫密碼、角色等級等信息,並在後台將玩家信息發送到駭客指定的遠程伺服器上,致使玩家的遊戲賬號、裝備物品、金錢等丟失,給《戰魂 Online》遊戲玩家帶來非常大的損失。

(

加入好友line@vga9721w
線上客服
@hd119