“VB蠕虫变种MQ”病毒技术细节

“VB蠕虫变种MQ”病毒技术细节（精选2篇）

篇1：“VB蠕虫变种MQ”病毒技术细节

少点炒作，多搞点技术分析，也是广告，但是体现技术，多好

来源：瑞星公司

这是一个Virutal Basic编写的蠕虫病毒，用UPX加壳程序进程保护，

该病毒运行后，首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:Documents and SettingsAll Users「开始」菜单程序启动).

接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(system,web,fonts,temp,help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,

taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)

病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.

病毒会修改注册表项,达到隐藏文件的目的.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

Advanced“HideFileExt” = 0X00000001

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

Advanced“Hidden” = 0X00000000

病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.

如:

cmd /c net share C$=c:

cmd /c net share D$=d:

将计算机的C盘和D盘共享.

cmd /c net user admin /add

添加一个“admin”的用户

cmd /c net localgroup administrators admin /add

将“admin”的用户加入到本地的administrators组中,得到最大的控制权

病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为“command.com”) 和autorun.inf.其中autorun.inf的内容为:

[autorun]

PEN=Comand.com

Shellexecute=comand.com

Shellexplorercommand=comand.com

病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.

总结：这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次，

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.19.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

篇2：“VB蠕虫变种MQ”病毒技术细节

1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。

2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open=“KAV32.exe”

3.查找OUTLook邮箱中的好友列表，然后把指定的网址ken23409.3322.org/发送给对方。

4.添加修改以下注册表项：

(1) HKEY_CLASSES_ROOT.reg

(默认) = TXTFILE （txtfile为默认的.txt文件打开、编辑方式，修改后将.reg文件当成.txt来处理）。

(2)  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem

“disableregistrytools” = 0X00000001 （禁用注册表编辑器）

(3) HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpolicieswinoldapp

“disabled” = 0X00000001 （禁止在Windows下使用MS-DOS方式及其它DOS程序）

(4)  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionPoliciesExplorer

“nosetfolders” = 0X00000001 （从开始菜单隐藏控制面板、打印机/网络连接）

(5)  HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorerrestrictions

“nobrowseroptions” = 0X00000001（禁用IE的“Internet选项”及其对话框中所有属性设置）

(6)  HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel

“homepage” = 0X00000001 （修改IE主页属性使按钮失效，用户无法更改“主页”栏）

(7)  HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel

“securitytab” = 0X00000001 （禁止使用IE“Internet选项”中的“安全”菜单）

(8)   HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorercontrol panel

“resetwebsettings” = 0X00000001 （隐藏网络标识）

(9)  HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerMain

“start page” = HTTP://KEN23409.3322.ORG （修改IE主页为：HTTP://KEN23409.3322.ORG）

(10)  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

“Kav32” = C:KAV32.EXE （达到开机自启动目的）

5.从ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹，命名为:i.exe，并运行该病毒，

（由于该网站下载连接已失效无法确认下载的是何种类型的病毒）。

6.查找以下反病毒软件窗口，找到后结束其进程：

(1).江民杀毒软件KV

(2).金山毒霸2007

(3). 瑞星杀毒软件2007

(4).卡巴斯基反病毒软件 6.0

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：（AD开始）