手工清除蠕虫病毒W32/Spybot-CH

信息源:www.sgjiqi.com   作者:利伟   日期:2005-1-13
(此方法仅适用于Windows用户)

【病毒名称】
   W32/Spybot-CH
   Worm.P2P.SpyBot.ch
   Win32/SpyBot.NW
   W32.Spybot.Worm

【病毒类型】Worm

【影响系统】Windows、Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。

【危险等级】中等

【特点概述】

  • 通过IRC服务传播。
  • 修改注册表。
  • 记录用户击键过程。
  • 自动开启后门服务,将击键记录发送至远程预先设定好的IRC服务器。

【发作原理】
   W32/Spybot-CH是一个具有后门功能的P2P网络蠕虫病毒。主要通过IRC传播。W32/Spybot-CH感染系统时,将“taskmangr.exe”或随机命名一个.exe文件复制至系统目录(%systemroot%\system32)中,并修改下列注册表项,以便在系统启动时获得运行的机会。   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
  Task manager=taskmangr.exe
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
  Task manager=taskmangr.exe
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
  Task manager=taskmangr.exe

  还在系统目录下创建一个“kazaabackupfiles”文件夹,增加下列文件:
    AquaNox2 Crack.exe
    AVP_Crack.exe
    Battlefield1942_bloodpatch.exe
    C&C Generals_Crack.exe
    FIFA2003crack.exe
    NBA2003_crack.exe
    Porn.exe
    Unreal12_bloodpatch.exe
    UT2003_bloodpatch.exe
    Zoneallarm_pro_crack.exe

  随后,
在注册表中“HKEY_CURRENT_USER\Software\Kazaa\LocalContent\Dir0”指向“kazaabackupfiles”。

  最后,
将用户击键记录发给远程预先设定好的IRC服务端。

〖1〗〖2〗 页       共 2 页