HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork破壞安全模式
然后在臨時(shí)文件夾內(nèi)創(chuàng)建一個(gè)名為L(zhǎng)iTdi.sys的驅(qū)動(dòng),創(chuàng)建名為L(zhǎng)iTdi服務(wù),并啟動(dòng)服務(wù)。查找相關(guān)殺毒軟件或安全軟件進(jìn)程,并向驅(qū)動(dòng)發(fā)送IO控制碼的方式結(jié)束相關(guān)進(jìn)程。
病毒還會(huì)調(diào)用IE訪問(wèn)http://nbtj.114anhui.com/msn/163.htm做感染統(tǒng)計(jì)。從表項(xiàng)中依次選擇下載十幾種惡意程序,其中多數(shù)為盜號(hào)木馬。
病毒還會(huì)感染可移動(dòng)存儲(chǔ)設(shè)備上的exe,rar,htm,html,asp,aspx文件,對(duì)于擴(kuò)展名為.rar的文件,病毒還會(huì)解包感染以上擴(kuò)展名文件后再壓縮回去。對(duì)于htm,html,asp,aspx的網(wǎng)頁(yè)文件,病毒會(huì)在其尾部加上" "的惡意代碼,使得這些網(wǎng)頁(yè)文件成為病毒的二次傳播源,用戶(hù)一旦點(diǎn)擊這些被感染文件,則會(huì)被病毒感染。
病毒還會(huì)通過(guò)自動(dòng)播放功能傳播。查找可移動(dòng)存儲(chǔ)設(shè)備并在其根目錄下生成autorun.inf,建立一個(gè)名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夾,把%SystemRoot%system32dllcachelsasvc.dll復(fù)制到該目錄下為Ghost.exe。
通過(guò)自帶的弱密鑰列表對(duì)網(wǎng)上鄰居進(jìn)行猜解,被猜解成功的管理員賬戶(hù)密碼的計(jì)算機(jī)將受到感染;如果連接成功,則將C:WINDOWSsystem32dllcachelsasvc.dll拷貝到對(duì)方機(jī)器的C:cm.exe,同時(shí)創(chuàng)建計(jì)劃任務(wù)以激活該病毒。
針對(duì)該病毒,江民殺毒軟件KV2010已緊急升級(jí),用戶(hù)只需升級(jí)殺毒軟件到最新病毒庫(kù),開(kāi)啟主動(dòng)防御和實(shí)時(shí)監(jiān)控,即可有效防御病毒,免遭"無(wú)極殺手"病毒侵害,確保電腦數(shù)據(jù)安全。