作者: floatJ (謝囉 XD) 站內: floatJ
標題: [資料][轉載] Worm@W32.Chod (CSRSS)
時間: 2007/03/04 Sun 18:54:51
Worm@W32.Chod
Chod是隻詭計多端的駭蟲,利用郵件和通訊軟體散播病毒
Chod 駭蟲會透過電子郵件和MSN Messenger來散播病毒,駭蟲會開啟門後程式和偷取即時
通訊軟體的密碼,並且利用通訊軟體來散播病毒,它會終止一些防毒程序並且防止存取防
毒網站。
Worm@W32.Chod 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
*
駭蟲會修改主機檔案,防止存取下列網站:
avp.com
ca.com
f-secure.com
kaspersky.com
trendmicro.com
..........
*
駭蟲會終止下列安全性相關的程序:
bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
...........
*
駭蟲可能試圖使下列services失效:
gcasServ
hijackthis*
KAVPersonal50
microsoft antispyware*
Outpost Firewall
........
*
駭蟲會試圖開啟後門程式,允許駭客進行下列攻擊:
開閉和重新啟動電腦。
下載和執行檔案。
執行ping, TCP或UDP的DoS攻擊。
取得電腦資料。
利用MSN messenger散播病毒。
利用email散播病毒。
*
駭蟲會試圖偷取下列應用程式的密碼:
AOL Instant Messenger
MSN Messenger
Windows Messenger
Yahoo Messenger
ICQ
.......
*
駭蟲會從下列副檔名檔案中取得電子郵件位址:
.adb
.asp
.cg
.ctt
.dbx
........
*
駭蟲會避免傳送郵件到包含有下列字串的網域:
antivirus
avp
bitdefender
f-pro
f-secure
.........
*
駭蟲會透過MSN Messenger傳送下列訊息和病毒檔案:
lol check this out, it freaked me out :S
LOL! look at this, I can't explain it in words...
omg check this out, it's just wrong :O
ROFL!! you have to see this... wtf...
you have to see this, it's amazing!
*
病毒檔案為下列任一個:
awesome
gross
mypic
naked lesbian twister
paris hilton
副檔名為下列任一個:
.exe
.scr
*
透過自己的SMTP大量發送病毒信件。
*
病毒執行後,在%System%產生
cpu.dll
*
病毒執行後,在%System%\\ 目錄產生
csrss.dat
csrss.exe
csrss.ini
*
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* 名稱=Csrss 值=%System%\[random folder name]\csrss.exe
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* 名稱=Csrss 值=%System%\[random folder name]\csrss.exe
修改Win.ini在[windows] run=加入駭蟲檔路徑%System%\csrss.exe,使開機即啟
動駭蟲。
*
修改Win.ini在[windows] Load= 加入駭蟲檔路徑 %System%\csrss.exe ,使開機
即啟動駭蟲。
*
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Run
名稱=Csrss 值=%System%\[random folder name]\csrss.exe
*
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
名稱=Run 值=%System%\[random folder name]\csrss.exe
名稱=Load 值=%System%\[random folder name]\csrss.exe
*
修改登錄檔,如此使登錄編輯程式失效。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies
名稱=DisableRegistryTools 值=1
名稱=NoAdminPage 值=1
*
修改登錄檔,如此使產生的病毒檔案隱藏。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
名稱=Hidden 值=2
名稱=SuperHidden 值=0
名稱=ShowSuperHidden 值=0
*
刪除下列登錄檔,如此使一些應用程式開機時無法啟動。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:MCAgentExe
值:ISSVC
值:navapsvc
值:Symantec
值:ccApp
..........
--
◢◣◢◤ # Origin # 台中一中 龍夢紀元
◥◣█◥◣ # Address # bbs.tcfsh.tc.edu.tw
◢◤◥◤ # Author # 222-250-38-62.cm.dynamic.apol.com.tw
→ R6 推:好噁心的東西 07/03/04
→ floatJ 推:推樓上 = = 07/03/04
→ swl20331 推:借轉 08/11/30
- Nov 30 Sun 2008 23:00
[教學]Worm@W32.Chod (CSRSS)
close
全站熱搜
留言列表