典型病毒分析报告
分析计算机病毒的报告
分析计算机病毒的报告简介计算机病毒是一种恶意软件,它会感染计算机系统并破坏其正常运行。
本文将通过以下步骤分析计算机病毒的特征和行为。
步骤一:了解计算机病毒的定义和分类计算机病毒是一种能够自我复制并传播的恶意软件。
根据其功能和传播方式,计算机病毒可以分为多种类型,如文件病毒、引导病毒、宏病毒等。
步骤二:病毒的传播途径计算机病毒可以通过多种途径传播,包括电子邮件附件、可移动存储设备、恶意下载等。
病毒的传播途径通常利用用户的不注意或系统漏洞等因素。
步骤三:计算机病毒的特征与行为计算机病毒具有一些特征和行为,这些特征和行为有助于我们鉴别和分析病毒。
以下是一些常见的计算机病毒特征和行为:1.传播性:病毒能够自我复制并传播到其他计算机系统。
2.潜伏期:病毒在感染计算机后可能有一个潜伏期,此期间病毒不会表现出明显的症状或行为。
3.破坏性:某些病毒会破坏计算机系统、文件或数据。
4.欺骗性:某些病毒会伪装成合法的程序或文件,以欺骗用户执行它们。
5.启动方式:某些病毒会在计算机启动时自动激活。
步骤四:检测和防御计算机病毒为了检测和防御计算机病毒,我们可以采取以下措施:1.安装可靠的杀毒软件和防火墙,及时更新病毒库。
2.定期进行系统扫描,以便发现和清除潜在的病毒。
3.谨慎打开和下载来自不可信来源的文件和链接。
4.避免使用未经授权的软件和操作系统。
5.定期备份重要的文件和数据,以防止病毒感染造成数据丢失。
步骤五:处理感染的计算机系统如果计算机系统感染了病毒,我们可以采取以下步骤进行处理:1.隔离受感染的计算机,防止病毒进一步传播。
2.运行杀毒软件进行全面扫描和清除病毒。
3.恢复受感染的文件和系统,如果无法恢复,考虑重新安装操作系统。
4.加强安全措施,以防止未来的感染。
结论计算机病毒是一种严重威胁计算机系统安全的恶意软件。
通过了解病毒的定义和分类、传播途径、特征和行为,以及采取相应的防御和处理措施,我们可以更好地保护计算机系统免受病毒的侵害。
勒索病毒深度分析报告
勒索病毒深度分析报告
概述
勒索病毒是一种恶意软件,其攻击方式是通过加密或拦截用户计算机上的文件,随后勒索受害者支付赎金以恢复受影响的文件。
近年来,勒索病毒攻击频率不断上升,给个人用户和企业组织带来了巨大的损失。
为了更好地理解勒索病毒及其工作原理,本文将对勒索病毒进行深度分析。
1. 勒索病毒的传播途径
勒索病毒主要通过以下途径传播:
- 电子邮件附件:通过在电子邮件中携带恶意附件,诱使用户点击并下载以启动勒索病毒。
- 恶意链接:通过伪装成合法链接的方式,引导用户点击从而下载和执行恶意软件。
- 漏洞利用:利用操作系统或软件程序中的安全漏洞,将恶意软件安装到目标计算机上。
2. 勒索病毒的工作原理
一旦勒索病毒感染了目标计算机,它会立即开始执行以下操作:- 文件加密:勒索病毒会加密目标计算机上的重要文件,如文档、照片、视频等,以阻止用户对文件的访问。
- 勒索信息显示:勒索病毒会在目标计算机上显示勒索信息,通知用户文件已被加密,并要求支付赎金以获取解密工具或密钥。
- 加密算法:勒索病毒使用高级加密算法,如RSA或AES,来
确保受感染文件的机密性。
- 加密密钥管理:勒索病毒会生成唯一的加密密钥,并将其存储在其控制的远程服务器上。
只有在用户支付赎金后,勒索病毒才会
提供密钥以解密文件。
3. 勒索病毒的影响
勒索病毒的影响可以是灾难性的。
以下是可能发生的影响:
- 文件丢失或损坏:勒索病毒通过加密用户文件,导致无法访问或恢复,从而造成文件丢失或损坏。
- 经济损失:受害者被迫支付大笔赎金以恢复其文件,这可能导致巨大的经济损失。
猴痘分析报告
猴痘分析报告1. 简介猴痘,又称为猴疟,是一种由猴病毒引起的人畜共患传染病。
本报告旨在对猴痘的病原学、流行病学、临床特征、防控措施等方面进行分析,以期为科学防控猴痘提供参考。
2. 病原学特征猴痘是由猴病毒感染引起的病毒性传染病。
病毒属于痘病毒科,拥有DNA基因组,主要通过呼吸道飞沫传播。
病毒具有较强的传染性,易引起人群暴发流行。
3. 流行病学特征(1)易感人群:人群普遍易感,特别是婴幼儿和未接种过疫苗的人群更容易被感染。
(2)传播途径:主要通过空气飞沫传播,也可通过接触患者皮疹、分泌物以及被感染物品进行传播。
(3)季节性流行:猴痘主要在冬春季节流行,秋季很少有病例报告。
(4)环境关联:病毒在温暖潮湿的环境中存活时间较长,且易于传播。
4. 临床特征(1)潜伏期:一般为7-17天。
(2)病程特点:病程较长,一般为2-3周。
分为发热、皮疹和结痂期。
(3)临床症状:初始为发热、乏力和头痛等非特异性症状。
皮疹初起于面部及四肢,逐渐扩展至全身。
皮疹为丘疹-疱疹-痂疹的序列,形态多样。
(4)并发症:猴痘并发症较少,但个别病例可导致皮肤感染、结膜炎、肺炎、中耳炎等。
5. 防控措施(1)疫苗接种:提倡广泛接种猴痘疫苗,有效降低感染风险。
(2)早期诊断和隔离治疗:根据临床特征和病史,及时确诊并进行隔离治疗,以减少传播风险。
(3)加强卫生教育:加强公众卫生教育,向公众普及猴痘的防控知识,提高自我防护意识。
(4)改善环境卫生:加强卫生设施建设和个人卫生习惯培养,保持环境清洁,减少传染源。
(5)世界卫生组织合作:加强国际交流与合作,共同应对猴痘流行,促进全球防控工作。
6. 结论猴痘是一种由猴病毒引起的传染病,具有较强的传染性和病变特点。
在临床特征方面,猴痘表现多样化,病程较长。
为了防止猴痘的传播,必须加强防控措施,包括广泛接种猴痘疫苗、早期诊断和隔离治疗、卫生教育等。
同时,国际合作也是应对猴痘流行的重要手段,共同应对全球公共卫生威胁。
病毒分析报告
病毒分析报告简介本文档是一份病毒分析报告,旨在通过对病毒样本进行深入分析,探索其特征、行为和危害,以提供对抗该病毒的有效手段。
本次分析的病毒样本是经过样本收集系统捕获并提供的未知病毒,作者将对其进行逆向工程和恶意代码分析,以评估其威胁程度和传播方式。
目录1.识别与分类2.恶意行为分析3.传播方式分析4.风险评估5.防护建议1. 识别与分类经过初步分析,本病毒样本可以被确定为一种新型的恶意软件。
通过对其二进制代码的静态和动态分析,发现该病毒拥有隐藏、加密、反调试等多种特征,具有一定的免疫性。
其主要特点包括: - 自复制能力:病毒通过在系统中创建副本进行自我复制,从而获得更大的传播范围。
- 加密与隐藏:病毒使用加密和隐藏技术,使其自身的代码难以被反汇编和分析。
- 远程控制:病毒通过建立与远程命令控制服务器的通信渠道,实现对感染系统的远程控制能力。
2. 恶意行为分析通过动态分析,我们发现该病毒具有以下恶意行为: - 数据窃取:病毒能够窃取用户的敏感数据,如账号密码、信用卡信息等,并将其发送到远程服务器。
- 后门功能:病毒在感染系统后,会植入后门程序,以便黑客能够远程访问受感染的系统。
- 信息篡改:病毒有能力修改用户主机中的重要文件,例如操作系统关键文件、应用程序以及安全软件等,进而影响系统的稳定性和安全性。
3. 传播方式分析通过对病毒样本的分析,我们发现其主要的传播途径为: - 邮件附件:病毒可能作为恶意附件随电子邮件发送给用户,并诱使用户打开附件。
- 感染可执行文件:病毒可以通过感染可执行文件的方式传播,一旦用户执行了受感染的文件,病毒即可在用户系统中运行并传播。
- 漏洞利用:病毒可能利用系统或应用程序的漏洞,通过网络传播到其他系统中。
4. 风险评估根据对该病毒的分析,我们认为其具有较高的威胁程度和危害性。
病毒采用多种技术手段,如加密、隐藏和远程控制等,可以绕过常见的防护措施,对系统和用户数据造成严重威胁。
乙肝病毒的病例分析报告
乙肝病毒的病例分析报告引言乙肝病毒(HBV)感染是全球范围内的公共卫生问题,估计全球有2亿人感染了乙肝病毒,其中有约3500万人患有慢性肝炎。
本文通过对一名患者的病例进行分析,旨在探讨乙肝病毒感染的临床特点、诊断方法和治疗策略,为乙肝病毒的防控提供参考。
病例描述患者为一名48岁的男性,体检后被发现HBsAg阳性。
患者主诉时常感到乏力、食欲不振,并且经常出现恶心、呕吐的症状。
患者自述过去十几年里多次到不同的医院就诊,但一直未能得到明确的诊断和治疗。
此次患者来到我院寻求进一步的诊治。
临床表现和检查结果患者的体温、血压、心率等生命体征均正常。
体格检查发现肝脏可触及,质地较硬,无压痛,脾脏未触及。
化验结果显示ALT和AST明显升高,血清总胆红素也轻度增高。
乙肝病毒相关的血清学指标检测显示,除了HBsAg阳性外,HBeAg和HBV-DNA均为阳性,抗-HBe和抗-HBc-IgM阴性,而抗-HBc-IgG阳性。
诊断和治疗根据患者的临床表现和检查结果,结合乙肝病毒感染的诊断标准,此患者被确诊为乙肝病毒慢性活动性肝炎。
针对此病例,采取以下治疗方案:抗病毒治疗、肝保护治疗和支持性治疗。
抗病毒治疗是乙肝病毒感染的主要治疗方法。
根据患者的病情,选择使用抗病毒药物进行治疗。
肝保护治疗旨在保护肝脏,减轻炎症反应。
这可以通过给予抗炎、解毒药物来实现。
支持性治疗包括营养支持和床旁护理等,并对患者进行定期随访和检查。
治疗过程中的重要一环是教育患者和家属,让他们了解乙肝病毒的感染途径、防护措施以及生活习惯的调整等。
讨论乙肝病毒感染的临床表现和检查结果受多种因素的影响,如乙肝病毒的毒力、宿主免疫反应等。
根据患者的病例,此患者可能由于病毒活力高,免疫反应较差,导致了乙肝病毒长期存在和复制,从而引起了慢性活动性肝炎。
乙肝病毒感染的诊断主要依靠乙肝相关的血清学指标检测,特别是HBsAg和HBV-DNA。
通过这些指标的检测,可以确定病毒的感染状态,并选择适当的治疗方案。
公共卫生事件案例分析报告
公共卫生事件案例分析报告公共卫生事件是指突然发生,造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。
这类事件往往具有突发性、复杂性和危害性,对社会和个人都会产生深远的影响。
以下将通过对几个典型公共卫生事件的案例分析,探讨其发生的原因、应对措施以及从中得到的启示。
一、案例介绍(一)SARS 疫情SARS(严重急性呼吸综合征)疫情于2002 年在中国广东顺德首发,并迅速扩散至全球 30 多个国家和地区。
据世界卫生组织公布的统计数字,全球累计非典病例共 8422 例,涉及 32 个国家和地区。
全球因非典死亡人数 919 人,病死率近 11%。
(二)H1N1 流感疫情2009 年 4 月,甲型 H1N1 流感在墨西哥爆发,并迅速蔓延至全球多个国家和地区。
据估计,全球约有 16 亿人感染,28 万多人死亡。
(三)新冠疫情2019 年底,新型冠状病毒肺炎疫情在中国武汉爆发,并在短时间内席卷全球。
截至目前,全球累计确诊病例数和死亡人数仍在不断增加。
新冠疫情对全球经济、社会和人们的生活方式产生了巨大的冲击。
二、原因分析(一)病毒本身的特性这些病毒往往具有较强的传染性和变异性,使得防控工作变得更加困难。
例如,新冠病毒可以通过飞沫传播、接触传播甚至气溶胶传播,传播途径多样。
(二)人口流动和全球化随着现代交通的发展,人员的流动日益频繁,加速了病毒的传播。
国际贸易和旅游也使得病毒能够在短时间内跨越国界和大洲。
(三)公共卫生体系的薄弱环节一些地区在公共卫生基础设施、医疗资源、监测预警机制等方面存在不足,无法及时有效地应对突发疫情。
(四)公众的卫生意识和行为部分公众缺乏良好的个人卫生习惯,如不勤洗手、不戴口罩、聚集活动等,增加了感染的风险。
三、应对措施(一)建立健全监测预警机制加强对传染病的监测和预警,及时发现潜在的疫情风险。
通过建立疫情监测网络、加强实验室检测能力等手段,提高早期发现和诊断的能力。
SBQQ木马病毒分析报告
不多说直接下CreateFile等相关api断点来到这里:
004028D8 . 6A 00 push 0 ; /hTemplateFile = NULL
"{7C3E3EA0-F318-43FB-952E-74736B2F6789}"
3.删除注册表HKEY_CLASSES_ROOT\CLSID\{07C3E3EA0-F318-43FB-952E-74736B2F6789}\InProcServer32项
4.删除VerCLSID.bak这个文件
"{7C3E3EA0-F318-43FB-952E-74736B2F6789}",
4安装钩子过程监视qq窗口
5.当系统重起后复制"C:\WINDOWS\system32\VerCLSID.exe"
为"C:\WINDOWS\system32\VerCLSID.bak"并删除原文件
6.删除qq医生这个程序;
五.分析过程
这是一个木马生成器生成的一个木马病毒程序,没有加壳,查看调用api都是一般木马病毒程序所调用的
关键api有 CreateFileA,ReadFile,DeleteFileA,GetFileType,GetKeyboardType,GetProcAddress,LoadLibraryA
004028DA . 68 80000000 push 80 ; |Attributes = NORMAL
004028DF . 51 push ecx ; |Mode
00
四.解决方案
安卓病毒分析报告
Android木马分析报告一、样本特征:1. 基本信息该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。
样本MD5:3ea3c573b257e0ede90c23ff908be1ff样本包名:com.way.xx样本证书串号:53a67b752. 特征描述该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。
二、样本分析:软件安装运行:图1 图2如图1所示,安装该病毒软件后桌面上出现一个类似正常软件的图标。
运行病毒后图标消失,如图2所示。
从病毒隐藏自身的图标来看,是恶意防止用户卸载,从而达到保护自身的目的。
如图下图所示是该病毒用到的一些敏感权限。
代码分析:软件入口程序入口com.way.activity.MainActivity,进入之后onCreate方法,此处SMSListenerService短信监听服务,同时启动服务后隐藏了图标。
调用的隐藏该软件图标的方法,在该病毒运行后达到隐藏图标的目的:病毒启动短信监听服务后,会在后台监控短信的广播消息。
获取短信的来源地址和短信内容,并监控包含知道你跟内容的短信,当接收到符合条件的短信后篡改其中的短信内容通过sendThread中的run方法将获得用户隐私上传到指定的服务器:后台发送短信AlarmReceiver中短信发送线程:从指定服务器获取短信信息的方法。
将从指定服务器获取的短信发送出去:结论:此病毒运行后会隐藏自身图标,防止用户卸载。
通过开启后台服务监听户用短信,并修改短信内容,后台私自发送短信,存在欺诈嫌疑。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上述木马病毒正确的去除方法见下图:
2.2ห้องสมุดไป่ตู้震荡波病毒
(1)病毒描述
Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。
第四步:删除注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\Currentversion\\Run项中名为“avserve.exe”的病毒键值。
第五步:重新启动计算机。
2.3、求职信病毒
(1)特征及原理:Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
而Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是:在本地开辟后门,监听TCP 5554端口,作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送,黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作以及系统异常等。
1.3、常见病毒发作症状
(1)屏幕异常滚动,和行同步无关。
(2)系统文件长度发生变化。
(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。
(5)存储容量异常减少。
(6)系统不能由硬盘引导。
(7)系统出现异常死机。
(8)数据丢失。
(9)执行异常操作。
(10) 绑架安全软件,杀毒软件、系统管理工具、反间谍软件不能正常启动。
(2)清除办法:
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式
下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESof
twareMicrosoftWindowsCurrent VersionRun
通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面的路径中加入自身启动项项: "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。
2.4、灰鸽子木马病毒
(1)病毒简介、特征及原理
灰鸽子是国内一款著名后门,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后,2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,可以在网络上买到,客户端简易便捷的操作使刚入门的初学者都能充当黑客。
Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1.2、计算机病毒的引导过程
一般包括以下三方面。
(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
二、典型病毒分析(包括特征、原理及清除办法)
2.1、特洛伊木马——NetBus
NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。
和HKEY_LOCAL_MACHINESystemCurrentControlSetServices
要删除的注册表项目是wink——?.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意
还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3
典型病毒的分析
班级:
姓名:
学号:
一、计算机病毒
1.1、简介
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。
黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序,名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(系统盘的windows目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。(G_Server.exe这个名称并不固定,它是可以定制的。)
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。
000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者
文件是需要按照提示完全删除的。
在Windows 2000/XP系统下的清除:
清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算 机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是: wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在 系统目录下将该文件删除。注意该文件是隐含的,必须打开显示所有文件的选择项目 才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun