Death.exe病毒
样本编写语言:Borland Delphi 6.0 - 7.0
加壳方式:UPX
样本编写语言:Borland Delphi 6.0 - 7.0
加壳方式:UPX
病毒运行
释放文件
C:/WINDOWS/system32/Supervise.exe
C:/WINDOWS/system32/Death.SiShen
C:/WINDOWS/system32/Death.exe
C:/WINDOWS/system32/Death.SiShen
内容为:
[Autorun]
OPEN=SuperDown.EXE
shellexecute=SuperDown.EXE
shell/Auto/command=SuperDown.EXE
创建启动项
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Supervise.exe"="C:/WINDOWS/system32/Supervise.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Death.exe"="C:/WINDOWS/system32/Death.exe"
修改 显示文件和文件夹 注册表
[HKLM/software/microsoft/windows/currentversion/explorer/advanced/folder/hidden/showall]
"checkedvalue"=dword:00000000
尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
tform1
噬菌体
木马克星
尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
death.exe (说明:自身副本)
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.
同样通过区域网传播(death.exe)
还删除了一个注册表,测试时候没删除.
software/microsoft/windows/currentversion/uninstall/密码防盗专家 综合版
****************************************************************************************************************************
手动清除方法。
1:在安全模式下开启360安全卫士或木马杀客软件
2:终止进程Death.exe进程
3:删除
C:/WINDOWS/system32/Death.exe
C:/WINDOWS/system32/Supervise.exe
C:/WINDOWS/system32/Death.SiShen
C:/WINDOWS/system32/Death.SiShen
4:删除注册表项中几项
启动项中
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Supervise.exe"="C:/WINDOWS/system32/Supervise.exe"
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"Death.exe"="C:/WINDOWS/system32/Death.exe"
显示文件和文件夹
[HKLM/software/microsoft/windows/currentversion/explorer/advanced/folder/hidden/showall]
"checkedvalue"=dword:00000000