比如
释放文件
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\spoolsv.exe
C:\pass.dic
F:\1.ico
C:\WINDOWS\system32\Death.SiShen
内容为
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
创建启动项
[software\microsoft\windows\currentversion\run]
什么都没写入..
修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
所有根目录及移动存储生成
X:\autorun.inf
X:\death.exe
[autorun]
\n\nopen=death.exe
\n\nshellexecute=death.exe
\n\nshell\auto\command=death.exe
尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
防火墙
tform1
噬菌体
木马克星
尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
====
