早上有空,对这个病毒脱了一下壳,OD了一下,更新一点
病毒会搜索进程查找并结束窗口信息中包含如下信息的进程:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
**************************
同时直接结束如下这些进程(注意最后三个和Viking对上了,呵呵):
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
**************************
病毒会删除上面提到的反病毒软件的注册表键值,同时删除雅虎助手的注册表
**************************
搜索局域网共享,利用暴力破解局域网用户密码方式试图传播自己,成功后将以GameSetup.exe的形式传播
调用Net.exe和Net1.exe删除admin$和IPC$共享
记录键盘,盗取QQ,记录信息会保存到C:\test.txt(同时会记录成功连接的IP共享信息)中
**************************
感染EXE、SCR、PIF、COM文件,同时删除GHOST备份(*.gho)
