文華高中 電腦研習社

作者: floatJ (謝囉 XD) 站內: floatJ
標題: [資料][轉載] Worm@W32.Chod (CSRSS)
時間: 2007/03/04 Sun 18:54:51

Worm@W32.Chod

Chod是隻詭計多端的駭蟲，利用郵件和通訊軟體散播病毒

Chod 駭蟲會透過電子郵件和MSN Messenger來散播病毒，駭蟲會開啟門後程式和偷取即時
通訊軟體的密碼，並且利用通訊軟體來散播病毒，它會終止一些防毒程序並且防止存取防
毒網站。

Worm@W32.Chod 行為描述：

註：在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

    *

      駭蟲會修改主機檔案，防止存取下列網站：

      avp.com

      ca.com

      f-secure.com

      kaspersky.com

      trendmicro.com

      ..........
    *

      駭蟲會終止下列安全性相關的程序：

      bbeagle.exe

      ccapp.exe

      ccevtmgr.exe

      ccproxy.exe

      ccsetmgr.exe

      ...........
    *

      駭蟲可能試圖使下列services失效：

      gcasServ

      hijackthis*

      KAVPersonal50

      microsoft antispyware*

      Outpost Firewall

      ........
    *

      駭蟲會試圖開啟後門程式，允許駭客進行下列攻擊：

      開閉和重新啟動電腦。

      下載和執行檔案。

      執行ping, TCP或UDP的DoS攻擊。

      取得電腦資料。

      利用MSN messenger散播病毒。

      利用email散播病毒。
    *

      駭蟲會試圖偷取下列應用程式的密碼：

      AOL Instant Messenger

      MSN Messenger

      Windows Messenger

      Yahoo Messenger

      ICQ

      .......
    *

      駭蟲會從下列副檔名檔案中取得電子郵件位址：

      .adb

      .asp

      .cg

      .ctt

      .dbx

      ........
    *

      駭蟲會避免傳送郵件到包含有下列字串的網域：

      antivirus

      avp

      bitdefender

      f-pro

      f-secure

      .........
    *

      駭蟲會透過MSN Messenger傳送下列訊息和病毒檔案：

      lol check this out, it freaked me out :S

      LOL! look at this, I can't explain it in words...

      omg check this out, it's just wrong :O

      ROFL!! you have to see this... wtf...

      you have to see this, it's amazing!
    *

      病毒檔案為下列任一個：

      awesome

      gross

      mypic

      naked lesbian twister

      paris hilton

      副檔名為下列任一個：

      .exe

      .scr
    *

      透過自己的SMTP大量發送病毒信件。
    *

      病毒執行後，在%System%產生

      cpu.dll
    *

      病毒執行後，在%System%\\ 目錄產生

      csrss.dat
      csrss.exe
      csrss.ini
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    * 名稱=Csrss 值=%System%\[random folder name]\csrss.exe

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    * 名稱=Csrss 值=%System%\[random folder name]\csrss.exe

      修改Win.ini在[windows] run=加入駭蟲檔路徑%System%\csrss.exe，使開機即啟
動駭蟲。
    *

      修改Win.ini在[windows] Load= 加入駭蟲檔路徑 %System%\csrss.exe ，使開機
即啟動駭蟲。
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Run

      名稱=Csrss 值=%System%\[random folder name]\csrss.exe
    *

      修改登錄檔，如此開機即會啟動駭蟲。

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

      名稱=Run 值=%System%\[random folder name]\csrss.exe

      名稱=Load 值=%System%\[random folder name]\csrss.exe
    *

      修改登錄檔，如此使登錄編輯程式失效。

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

      Policies

      名稱=DisableRegistryTools 值=1

      名稱=NoAdminPage 值=1
    *

      修改登錄檔，如此使產生的病毒檔案隱藏。

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

      Explorer\Advanced

      名稱=Hidden 值=2

      名稱=SuperHidden 值=0

      名稱=ShowSuperHidden 值=0
    *

      刪除下列登錄檔，如此使一些應用程式開機時無法啟動。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      值：MCAgentExe

      值：ISSVC

      值：navapsvc

      值：Symantec

      值：ccApp

      ..........

--
◢◣◢◤    #  Origin  #  台中一中  龍夢紀元
◥◣█◥◣  #  Address # bbs.tcfsh.tc.edu.tw
  ◢◤◥◤  #  Author  # 222-250-38-62.cm.dynamic.apol.com.tw
→ R6 推：好噁心的東西                                                07/03/04
→ floatJ 推：推樓上 = =                                              07/03/04
→ swl20331 推：借轉                                                  08/11/30