1.Worm.Shoho.c病毒概述
2.Worm.Ariss.c病毒简介
3.蠕虫病毒Win32.Luder.C感染方式
4.Worm.Win32.Agent.wb是虫源虫代什么病毒
5.Worm.DipNet.c病毒行为
6.c:\system volume information\-restore{ 575990b2-fa16-413.......}是蠕虫病毒吗?
Worm.Shoho.c病毒概述
本文主要介绍的是Worm.Shoho.c病毒的相关信息。这款病毒被冠以多种别名,码蠕码包括I-Worm.Welyah[AVP]、虫源虫代W.Shoho@mm[NAV]、码蠕码W/Shoho.c@MM以及W/Welyah.C@mm,虫源虫代显示出其在恶意软件界中的码蠕码美肌优选源码多样性和复杂性。
该病毒首次被报告处理的虫源虫代时间是在年月日,这表明它在当时的码蠕码计算机安全环境中已经引起了广泛关注。Worm.Shoho.c被评估为具有威胁性,虫源虫代其威胁级别被标记为★★,码蠕码意味着它对用户的虫源虫代电脑系统具有中等程度的危害。
病毒的码蠕码中文名称为“笑哈哈”,虽然名称听起来有些幽默,虫源虫代但其实际功能却并不轻松。码蠕码Worm.Shoho.c属于蠕虫病毒类型,虫源虫代这类病毒主要通过自我复制和传播来感染目标系统,无需用户的主动操作即可在网络中蔓延。
这款病毒主要影响的是Windows操作系统,具体包括Win9x和WinNT版本。这意味着,对于使用这些系统的用户来说,需要特别警惕,蓝奏云iapp源码因为他们的电脑可能成为蠕虫病毒的潜在目标。
总的来说,Worm.Shoho.c蠕虫病毒是一种不容小觑的威胁,对于用户而言,定期更新系统补丁,安装防病毒软件,以及保持良好的网络使用习惯,都是防范此类病毒的有效措施。
Worm.Ariss.c病毒简介
Worm.Ariss.c是一款通过电子邮件进行传播的恶性蠕虫病毒,它具有破坏性,能够削弱用户的计算机防护。首先,病毒会干扰用户的防护系统,如关闭防火墙和常见的反病毒软件,以削弱计算机的防护能力。它还会禁用注册表编辑器,进一步限制用户的系统管理权限。
病毒的恶意行为包括但不限于禁用开始菜单中的"运行"功能,隐藏硬盘分区,阻止用户进入Windows 的MS-DOS模式,以及阻止显示"远程管理"等功能,百里守约源码这些操作旨在创造一个更适合其他恶意软件入侵的环境。此外,病毒还会对系统中那些对于攻击者来说可能存在的、但对用户来说并无明显作用的服务进行关闭或删除。
这些不必要的服务通常在操作系统中默认安装,为潜在的黑客提供了便利。通过移除它们,可以大大降低系统遭受攻击的风险。总的来说,Worm.Ariss.c病毒对用户的计算机安全构成严重威胁,用户应保持警惕并及时采取安全措施以防止其侵害。
蠕虫病毒Win.Luder.C感染方式
当Win.Luder.C蠕虫病毒运行时,它首先将自身副本wservice.exe复制到系统的%System%目录,并设置该文件的隐藏属性。这样做的目的是为了在不被察觉的情况下隐藏其存在。接着,病毒会修改两个关键的注册表键值: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService 被设置为 "%System%\wservice.exe",这是确保病毒在系统启动时自动启动的行为。同样,HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService 也被修改,目的云主机源码怎么上传是在用户登录时执行病毒副本。 为了进一步防止多个蠕虫副本同时运行,Win.Luder.C创建了一个名为"Kusyyyy"的互斥体,这是一种同步机制,确保单个实例的执行。这个互斥体的存在确保了病毒的自我复制和传播过程不会因多个实例同时运行而产生冲突。 值得注意的是,%System%是一个动态路径,病毒会根据操作系统环境来确定实际的系统文件夹位置。在Windows 和NT上,它默认位于C:\Winnt\System;而在Windows 、和ME中,路径是C:\Windows\System;而对于Windows XP,这个位置则是C:\Windows\System。扩展资料
Win/Luder.C是一种通过邮件传播的蠕虫,并寄存在PE 文件和RAR 文件中进行传播。另外,它还会生成一个特洛伊,用来下载并运行其它的恶意程序。它是大小为, 字节,以 UPX格式加壳的Win可运行程序。Worm.Win.Agent.wb是低吸私募源码什么病毒
病毒名称: Worm.Magistr.g
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的位PE可执行程序,病毒源的大小为KB。
病毒源文件为boot.exe,由用户从U盘上提取。
病毒源文件流程:
boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。
检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system\drivers\IsDrv.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。
装载该dll,然后查找病毒调用序号为的导出函数。
DLL流程:
DLL被装载时:
1、获得系统sfc.dll中的SfcIsFileProtected函数地址,以便在感染时调用以防止感染受系统保护的文件。
2、获取系统的linkinfo.dll(%system%目录下)的下列导出函数,使自己导出的同名函数指向正常的linkinfo.dll中正确的函数,以便转接这些函数。
ResolveLinkInfoW
ResolveLinkInfoA
IsValidLinkInfo
GetLinkInfoData
GetCanonicalPathInfoW
GetCanonicalPathInfoA
DisconnectLinkInfo
DestroyLinkInfo
CreateLinkInfoW
CreateLinkInfoA
CompareLinkInfoVolumes
CompareLinkInfoReferents
3、检查自己是否在explorer.exe进程中,如不是则启动病毒主线程。
4、启动病毒主线程
病毒首先通过VMWare后门指令检查是否是在VMWare下运行,如果是直接重启机器,以此来防止自己在虚拟机中被运行。
生成名称为"PNP#DMUTEX#1#DL5"的互斥量,以保证只有一个实例在运行。
然后开始启动各工作线程
5、工作线程1(生成窗口和消息循环)
生成隐藏的窗口和消息循环,并通过调用RegisterDeviceNotificationA注册设备通知消息,当发现插入可移动磁盘时,向可移动磁盘写入病毒源boot.exe。
6、工作线程2(遍历并感染所有磁盘)
从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。
病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,并通过调用SfcIsFileProtected来检查是否为系统文件,如是则不感染。
同时,病毒不感染以下程序:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
大话西游.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe
7、工作线程3(禁止其它病毒、破坏卡卡助手和感染网络)
枚举进程,如果进程的程序文件名(包括目录)是如下程序(常见的病毒程序),将终止该进程
realschd.exe
cmdbcs.exe
wsvbs.exe
msdccrt.exe
run.exe
sysload3.exe
tempicon.exe
sysbmw.exe
rpcs.exe
msvce.exe
rundl.exe
svhost.exe
smss.exe
lsass.exe
internat.exe
explorer.exe
ctmontv.exe
iexplore.exe
ncscv.exe
spo0lsv.exe
wdfmgr.exe
upxdnd.exe
ssopure.exe
iexpl0re.exe
c0nime.exe
svch0st.exe
nvscv.exe
spoclsv.exe
fuckjacks.exe
logo_1.exe
logo1_.exe
lying.exe
sxs.exe
病毒通过修改卡卡助手的驱动"%system%\drivers\RsBoot.sys"入口,使该驱动在加载时失败。
枚举网络资源,并尝试对网络资源中的文件进行感染。
枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名,并使用下列密码尝试。
password1
monkey
password
abc
qwerty
letmein
root
mypass
owner
test
love
admin
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
admin
8、工作线程4(修改host文件并下载)
备份host文件为host.txt,并下载文件代替。
查找系统html文件的关联程序,启动并注入dll以便穿过防火墙的拦截。
尝试连接以下地址并下载文件
*****rg/c.asp
****rg/top.dat
9、工作线程5(监视并禁止其它病毒)
通过调用驱动获得新生成的进程,如果进程的文件是指定程序(见工作线程3),终止该进程
驱动:
该驱动加载后首先通过替换 SDT 的中的函数地址挂钩
ZwSaveKey
ZwQueryDirectoryFile
ZwClose
ZwEnumerateKey
ZwLoadDriver
...
等 API 来保护病毒的注册表键值不被发现和修改,并隐藏病毒文件(boot.exe, linkinfo.dll, nvmini.sys等),
以及禁止一些安全软件的驱动加载。
然后,驱动创建一个名为 DL5CProc 的设备。用户进程可以通过 ioctl = 来获得最后一个创建进程的进程 ID。
这个进程 ID 是通过调用 PsSetCreateProcessNotifyRoutine 得到的通知获得。
该驱动还会通过 PsSetLoadImageNotifyRoutine 设置映像加载通知,如果加载的映像文件在以下子目录中:
COMMON FILES, WINDOWS\SYSTEM, WINNT\SYSTEM
并且名为:
DLLWM.DLL
WININFO.RXK
RICHDLL.DLL
WINDHCP.DLL
DLLHOSTS.DLL
NOTEPAD.DLL
RPCS.DLL
RDIHOST.DLL
RDFHOST.DLL
RDSHOST.DLL
LGSYM.DLL
RUND.DLL
MDDDSCCRT.DLL
WSVBS.DLL
CMDBCS.DLL
UPXDHND.DLL
该驱动会通过修改物理内存修改模块入口是这些模块返回失败,无法成功加载。这些动态库多是一些盗密码的
病毒以及Worm.Viking的动态库,所以被 Magister 感染的系统不会再感染这些病毒。
被感染的文件:
病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfo.dll和%SystemRoot%\system\drivers\IsDrv.sys并加载,然后调用linkinfo.dll的序号为的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件。
“马吉斯(Worm.Magistr)”病毒专杀工具
Worm.DipNet.c病毒行为
该蠕虫病毒Worm.DipNet.c主要通过系统漏洞进行传播,其行为特征包括以下几点:
首先,病毒会在系统目录下创建三个随机命名的副本,并将它们注册为系统服务NetDDEfipx,以实现自我复制。每个副本的文件名都具有随机性,增加了其隐藏和躲避检测的能力。
为了防止病毒的多实例同时运行,它会建立一个互斥体_XXX_asdasd_XXX__,以此进行资源控制。
其次,病毒会在注册表中添加启动项,具体在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,将启动命令设置为指向随机生成的exe文件,确保病毒在系统启动时自动运行。
更进一步,病毒将自身注册为系统服务,通过以下注册表键值进行配置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDEfipx。它设置了服务类型、启动方式、错误控制等参数,并将服务对象名设为LocalSystem,确保病毒在系统后台运行。
病毒还会在系统设备树中创建相关项,如HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NETDDEFIPX等,以确保服务的正常运行和新实例的管理。
总的来说,Worm.DipNet.c病毒通过系统服务和启动项的巧妙设置,实现了自我复制和隐蔽运行,对网络服务器的安全构成严重威胁。其复杂的行为模式使其更难以防范和清除。
c:\system volume information\-restore{ b2-fa-.......}是蠕虫病毒吗?
应该不是。应该是系统文件。蠕虫病毒一般以worm为后缀当然也不排除病毒已经伪装了。如果不放心还是用杀毒软件查杀下。一般最新的卡巴斯基对蠕虫病毒的查杀能力比较强。只要能查出来就能杀掉。杀不掉的开机时按F8进安全模式再拿杀毒软件杀一定能杀掉。