w32.downadup.b蠕虫病毒详解及清除攻略
如何完全清计算机除蠕虫病毒
如何完全清计算机除蠕虫病毒我的电脑中了蠕虫病毒,那么用什么方法可以完全清除呢?下面由店铺给你做出详细的完全清除蠕虫病毒方法介绍!希望对你有帮助!完全清除计算机蠕虫病毒方法一:金山网盾3.6正式版-突破性新功能下载保护无论是使用迅雷、快车下载,还是使用qq、msn传文件,或者用浏览器默认的下载方式,金山网盾3.6都真正实现:1、秒级快速过滤,5秒内检验新下载文件和程序是否有病毒、木马;2、快速分离,10秒内完成对新下载文件中附带病毒、木马的查杀,还用户干净的程序、文件。
完全清除计算机蠕虫病毒方法二:以通过引导到其它系统删除所有病毒文件,彻底清除。
2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。
4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除原因:该木马病毒具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,很难彻底删除。
你可以用360安全卫士或AVG、超级巡警等清理一下流氓软件和插件!!建议使用360安全卫士 AVG 超级巡警来查杀木马!!用瑞星或卡巴斯基来查杀病毒!!完全清除计算机蠕虫病毒方法三:蠕虫病毒的感染性是很强的,如果中了蠕虫病毒一定要立即查杀,遇到感染类的蠕虫病毒可以这样先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了蠕虫病毒会导致cpu占用率很高,运行会很卡,而且占了不少带宽,上网也很卡。
Conficker清除方法
Conficker清除方法清除Conficker蠕虫病毒详细步骤2011-01-15 17:00Conficker简介:Worm:Win32/Conficker.B.9.831 ,利用0867漏洞的蠕虫。
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。
它使当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。
被conficker蠕虫感染症状:帐户锁定政策被自动复位。
某些微软Windows服务会自动禁用,如自动更新,后台和错误报告服务。
域控制器对客户机请求回应变得缓慢。
系统网络变得异常缓慢。
这可以从检测的跟杀毒软件,windows系统更新有关的网站无法访问。
另外它发射暴力密码破解攻击管理员密码以把密码更换成更好的。
为了能更完整杀掉 win32.conficker病毒,在打开本文中的连接时,请先点右键,再在弹出的菜单中选"在新窗口中打开"。
清除Conficker蠕虫1(此方法适用于普通网民)1:下载最新Conficker免疫补丁/downloads/details.aspx?displaylang=zh-cn&FamilyID=支持的操作系统:Windows XP Service Pack 2; Windows XP Service Pack 3/downloads/details.aspx?displaylang=zh-cn&FamilyID=Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 22:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署Conficker蠕虫清除工具下载--conficker蠕虫专杀工具/kb/890830 (Windows 2000/XP/2003/)其他恶意软件删除工具下载/kb/891716繁体中文(香港、澳门和台湾)用户,请参考微软官方网站提供的Conficker蠕蟲3:如果还是杀win32.conficker木马病毒的话,可到/sd/in清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)3.1移除使用W32.Downadup(Conficker蠕虫)移除工具赛门铁克安全响应中心已经开发出一种清除工具来清理感染的W32.Downadup(Conf 它是最简单的方法以消除这一威胁。
w32.downadup.b病毒查杀
W32.Downadup.B病毒专杀方法1.禁用系统还原(WindowsMe/XP)如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。
此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。
如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。
因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。
这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。
注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
有关其他信息,以及禁用WindowsMe系统还原的其他方法,请参阅Microsoft知识库文章:病毒防护工具无法清除_Restore文件夹中受感染的文件(文章编号:Q263455)。
2.更新病毒定义赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。
可以通过两种方式获得最新的病毒定义:*运行LiveUpdate,这是获得病毒定义最简便的方法。
如果是使用NortonAntiVirus、SymantecAntiVirusCorporateEdition10.0或更新版本的产品,请每天更新一次LiveUpdate病毒定义。
这些产品使用了更新的技术。
如果使用NortonAntiVirus2005、SymantecAntiVirusCorporateEdition9.0或更早版本的产品,请每周更新一次LiveUpdate病毒定义。
出现重大病毒爆发的异常情况时,定义更新会更加频繁。
*使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
电脑中了蠕虫病毒怎么办
电脑中了蠕虫病毒怎么办勒索蠕虫毒”(WannaCry)是一种新型病毒,主要以邮件、程序木马、网页挂马的形式传播。
那什么是勒索蠕虫病毒?电脑中了蠕虫病毒怎么办?接下来店铺为你整理了勒索蠕虫病毒出现变种预警及处置建议,希望对你有帮助。
什么是勒索蠕虫病毒这个近来席卷中国的蠕虫病毒被称为“比特币敲诈者”!而就在比特币病毒肆意对我国进行破坏。
罪魁祸首则是一个名为 WannaCry 的勒索软件。
一旦中毒,电脑就会显示“你的电脑已经被锁,文件已经全部被加密,除非你支付等额价值 300 美元的比特币,否则你的文件将会被永久删除” 。
勒索蠕虫病毒出现变种预警及处置建议勒索蠕虫毒”(WannaCry)是一种新型病毒,主要以邮件、程序木马、网页挂马的形式传播,一旦感染该病毒,中病毒的电脑文件就会被病毒加密,被感染者一般无法解密,必须支附高额费用拿到解密私钥才能解密,危害性极大。
据有关部门监测发现,WannaCry 勒索蠕虫病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,为此,建议使用网络的单位和个人立即进行关注和处置。
一、一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https:///zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
免疫工具下载地址:/nsa/nsatool.exe。
三、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
教你如何清除蠕虫病毒
教你如何清除蠕虫病毒在本文中,笔者将分析容易受这种特定蠕虫攻击的路由器类型,然后讨论如何防止这类和其它类型的路由器蠕虫的感染。
最后,我们将探讨如何清除感染路由器的蠕虫。
蠕虫是怎样进入路由器的路由器蠕虫是通过用于远程管理路由器的端口进入路由器的。
不过,路由器在默认情况下并没有打开这些端口。
必须在路由器Web界面的配置程序上手动启用之。
如下图1所示:此外,更大的漏洞在于弱口令。
换句话说,如果采取了防御措施,远程管理就是安全的。
根据有关媒体的研究,这种最新的蠕虫攻击的基本上需要满足下面的标准:1.这些设备一般都是使用MIPS处理器的设备,这种处理器运行简版Endian模式(mipsel)运行。
这包括大约30种Linksys设备,十种Netgear 型号的设备,还有其它许多种设备。
此外,加载其它固件代替品的路由器,如DD-WRT和OpenWRT也易于受到攻击。
2.启用了某种类型远程管理的设备,如启用了telnet、SSH,或是基于Web的访问,要知道,仅提供本地的访问并不容易受到攻击。
3.远程管理访问的用户名和口令的组合不够强健,易被破解。
或者是其固件容易被漏洞利用程序所利用。
既然路由器蠕虫是通过远程管理端口侵入的,保障这些端口的安全就成为了防止感染的关键所在。
此外,不启用远程管理并关闭这些端口就是最佳方案,因为蠕虫无路可进。
不过,如果需要远程访问,遵循下面的指南可以防止蠕虫的入侵:1.使用强健而安全的口令要知道,路由器蠕虫依赖于强力字典攻击(不断地努力猜测口令),所以我们应当使用不易被猜测的口令。
不要使用什么“admin”、“router”、“12345”等作为路由器的口令,而要使用一种混合性的组合,如rDF4m9Es0yQ3ha等。
其中至少要包括大小写字母,并利用数字和字母。
虽然这种口令不易记忆,但我们可以将其存放于可以某个文件(如文本文件)中,再用TrueCrypt、Cryptainer LE等软件为各种保存密码的文件加密。
蠕虫病毒清理办法
病毒名称:Wrom.Win32.Anilogo.b 病毒类型:感染式蠕虫文件MD5:D4BC853EA0191A909EDDC894B74 4BBF0危害等级:高文件长度:1,142,914字节感染系统:Windows 2000,Windows XP,Windows 2003病毒描述:该病毒属于感染式,被感染的样本在宿主的尾部添加一个节用来保存病毒代码,修改入口点为病毒的代码起始位置。
行为分析:本地行为:感染本地的可执行文件,不感染系统文件夹下的文件注:%System32%是一个可变路径。
病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量%Windir%\ WINDODWS所在目录%DriveLetter%\ 逻辑驱动器根目录%ProgramFiles%\ 系统程序默认安装目录%HomeDrive% = C:\ 当前启动的系统的所在分区%Documents and Settings%\ 当前用户文档根目录清除方案:从最后一个节(.ani)的偏移0x04h 处取出宿主的原始入口点EntryOfPoint删除文件最后一个节(节名称是.ani)删除最后一个节的节表(.ani)修正SizeOfImage修正节数目=原节数目-1。
计算机中了蠕虫病毒如何解决
计算机中了蠕虫病毒如何解决计算机中了蠕虫病毒解决方法一:蠕虫病毒是一种常见的计算机病毒。
它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中通常是经过网络连接。
蠕虫病毒是自包含的程序或是一套程序,它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中通常是经过网络连接。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序有两种类型的蠕虫:主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身因此在任意给定的时刻,只有一个蠕虫的拷贝运行,这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
计算机中了蠕虫病毒解决方法二:占用量网速并且电脑文件进行破坏占用量内存1遇病毒按我说办操作吧简单彻底清除些让痛恨病毒2建议您现立刻载腾讯电脑管家8.3新版电脑首先进行体检打所防火墙避免系统其余文件染3打杀毒页面始查杀切记要打红伞引擎4普通查杀能解决问题您打腾讯电脑管家---工具箱---顽固木马专杀- 进行深度5查杀处理完所病毒立刻重启电脑再进行安全体检清除余系统缓存文件避免二染计算机中了蠕虫病毒解决方法三:他会拖慢你的速度,给电脑带来异常。
遇到这类的,建议赶快重新查杀,或进行安全模式下全盘杀毒,不要怕麻烦安全第一。
推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
如果遇到顽固木马,可以进入安全模式杀毒看看,可以用腾讯电脑管家工具箱——顽固木马克星强力查杀功能,也可以试试文件粉碎哟。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
w32.downadup.b蠕虫病毒详解及清除攻略最近经常到几个工厂走动,发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。
杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。
发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。
W32.Downadup.B会在硬盘上新建autorun.inf 文件,若用户进入硬盘空间,恶意代码便会自动运行。
同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。
一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。
此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。
这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
W32.Downadup.B病毒介绍Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates],W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky] 蠕虫Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XPW32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。
它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。
W32.Downadup.B病毒会修改 tcpip.sys 文件。
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"然后,它会将其自身复制为下列文件中的一个或多个:* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll* %System%\[RANDOM FILE NAME].dll* %Temp%\[RANDOM FILE NAME].dll* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll 它创建具有下列特征的新服务:服务名称:[PATH TO WORM]显示名称:[WORM GENERATED SERVICE NAME]启动类型:自动接下来通过创建下列的注册表项注册为服务:* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections" = "00FFFFFE"接下来,蠕虫会结束下列两项 Windows 服务:* 后台智能传输服务 (BITS)* Windows 自动更新服务 (wuauserv)然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:%System%\drivers\tcpip.sys它还尝试通过修改下列注册表值在系统上将自身隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。
然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
如果建立成功,则蠕虫将自身作为下列文件复制到共享:[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:* * * * 蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:%DriveLetter%\autorun.inf它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。
如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:* DNS_Query_A* DNS_Query_UTF8* DNS_Query_W* Query_Main* sendto蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate它联系下列站点之一以获取当前日期:* * * * * * * * * * * 然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。