《附“五毒虫”中毒典型症状》-公开·课件.pptVIP

附4：“五毒虫”中毒典型症状 五毒虫是一个包括邮件蠕虫、漏洞蠕虫、后门、QQ尾巴等行为于一身的混合病毒。 一、常见症状： １. 向外疯狂发送垃圾邮件；　　　 ２. 60秒倒计时重启；　　　　　　 ３. 向QQ好友发送垃圾信息； 4. 打不开杀毒软件； ５. 向网络内其他机器攻击； ６. 上网速度缓慢. 二、典型症状 1、该病毒也利用了邮件进行传播，并会发送大量的垃圾邮件。如果您的电脑开机不久，系统有如下提示信息，说明您可能中了五毒虫： 2、如果您收到如下内容的邮件，有可能是五毒虫病毒通过邮件传播给你发来的带毒邮件，请务必不要打开附件： 3、五毒虫还可能通过拷贝自身到网络共享可写目录进行传播。如果您系统的共享目录中存在如下文件，有可能是五毒虫的病毒文件， WinRAR.exe Internet Explorer.bat Documents and Settings.txt.exe Microsoft Office.exe Windows Media Player.zip.exe Support Tools.exe WindowsUpdate.pif Cain.pif MSDN.ZIP.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe 三、病毒行为 1、病毒运行后会将自身复制到系统目录下： %SystemRoot%\SYSTRA.EXE? %System%\hxdef.exe? %System%\IEXPLORE.EXE? %System%\RAVMOND.exe? %System%\realsched.exe? %System%\vptray.exe? %System%\kernel66.dll 2、在系统安装目录中生成 %System%\ODBC16.dll? %System%\msjdbc11.dll? %System%\MSSIGN30.DLL %System%\LMMIB20.DLL %System%\NetMeeting.exe? %Windir%\suchost.exe? %System%\spollsv.exe? 在每个盘符下生成如下两个文件 AUTORUN.INF? COMMAND.EXE? 使用户一双击盘符即会中毒 3、在注册表主键： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下键值： WinHelp=%SYSTEM%\realsched.exe Hardware?Profile?=%SYSTEM%\hxdef.exe Mircorsoft?NetMeeting?Associates,?Inc.=NetMeeting.exe Program?In?Windows=%system%\IEXPLORE.EXE VFW?Encoder/Decoder?Settings=RUNDLL32.EXE?MSSIGN30.DLL?ondll_reg Protected?Storage=RUNDLL32.EXE?MSSIGN30.DLL?ondll_reg Shell?Extension=%system%\spollsv.exe 对注册表主键： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command 修改如下键值 默认=vptray.exe?%1 在注册表主键 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices 下添加如下键值： SystemTra=%Windor%\SysTra.EXE COM++?System=suchost.exe 对于win98/me系统?会对%system%\win.ini文件内添加如下内容： run=%System%\RAVMOND.exe 4、会创建一个名为?Windows?Management?Protocol?v.0?(experimental)和_reg的两个服务，服务对应的病毒文件为msjdbc11.dll，入口参数为ondll_server。 5、随机开启一个端口，作为后门。 6、收集系统信息，存为C:\NETLOG.TXT，每行均以NETDI做为开头 7、复制自身到所有共享目录中，文件名可能是以下之一： WinRAR.exe? Internet?Explorer.bat? Do