HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork破壞安全模式

然后在臨時(shí)文件夾內(nèi)創(chuàng)建一個(gè)名為LiTdi.sys的驅(qū)動,創(chuàng)建名為LiTdi服務(wù),并啟動服務(wù)。查找相關(guān)殺毒軟件或安全軟件進(jìn)程,并向驅(qū)動發(fā)送IO控制碼的方式結(jié)束相關(guān)進(jìn)程。

病毒還會調(diào)用IE訪問http://nbtj.114anhui.com/msn/163.htm做感染統(tǒng)計(jì)。從表項(xiàng)中依次選擇下載十幾種惡意程序,其中多數(shù)為盜號木馬。

病毒還會感染可移動存儲設(shè)備上的exe,rar,htm,html,asp,aspx文件,對于擴(kuò)展名為.rar的文件,病毒還會解包感染以上擴(kuò)展名文件后再壓縮回去。對于htm,html,asp,aspx的網(wǎng)頁文件,病毒會在其尾部加上" "的惡意代碼,使得這些網(wǎng)頁文件成為病毒的二次傳播源,用戶一旦點(diǎn)擊這些被感染文件,則會被病毒感染。

病毒還會通過自動播放功能傳播。查找可移動存儲設(shè)備并在其根目錄下生成autorun.inf,建立一個(gè)名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夾,把%SystemRoot%system32dllcachelsasvc.dll復(fù)制到該目錄下為Ghost.exe。

通過自帶的弱密鑰列表對網(wǎng)上鄰居進(jìn)行猜解,被猜解成功的管理員賬戶密碼的計(jì)算機(jī)將受到感染;如果連接成功,則將C:WINDOWSsystem32dllcachelsasvc.dll拷貝到對方機(jī)器的C:cm.exe,同時(shí)創(chuàng)建計(jì)劃任務(wù)以激活該病毒。

針對該病毒,江民殺毒軟件KV2010已緊急升級,用戶只需升級殺毒軟件到最新病毒庫,開啟主動防御和實(shí)時(shí)監(jiān)控,即可有效防御病毒,免遭"無極殺手"病毒侵害,確保電腦數(shù)據(jù)安全。

分享到

kuangmin

相關(guān)推薦