wdfmg.exe 病毒全揭密.docVIP

wdfmgr.exe 病毒全揭密 wdfmgr.exe 病毒全揭密 2008-04-08 00:30 搜狐博客 清音妙曲 日志 计算机技术 2008-04-07 | wdfmgr.exe 病毒全揭密 标签： wdfmgr.exe 病毒 病毒杀戮者 杀毒 wdfmgr.exe 病毒是我目前遇到过的最可怕、最阴险、最顽固、最无耻之极的病毒了。有关该病毒的资料在网上也有许多介绍，有人把这个病毒称为 Backdoor.Win32.SdBot.bti 或 W32/Sdbot.worm.gen.ca 或 Backdoor.Win32.IRCbot.bdn 病毒，还有一些其它名称。不管叫什么，总之它就是病毒，我就以病毒主程序的名字称呼它好了。 下文是一家比较专业的网站对它的描述： 《引自：（/html/1/antidu_20079874758.html）》 传播方式：通过MSN传播 技术分析 MSN蠕虫变种，根据系统语言向MSN联系人发送诱惑文字消息和带毒压缩包，当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。 病毒运行后在系统目录生成包含自身的带毒ZIP压缩包： %Windows%\Z058_jpg.zip 其中包含病毒文件 创建副本： %Windows%\wdfmgr.exe 创建启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] wdfmgr.exe=%Windows%\wdfmgr.exe 修改注册表关闭系统文件保护： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] SFCDisable=dword:ffffff9d SFCScan=dword更改自动关闭进程等待时间： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] WaitToKillServiceTimeout=7000 破坏FTP程序文件： %System%\tftp.exe %System%\dllcache\tftp.exe %System%\ftp.exe %System%\dllcache\ftp.exe 原正常程序复制到： %System%\microsoft\backup.tftp %System%\microsoft\backup.ftp 根据染毒系统语言向MSN联系人发送相应诱惑文字消息，同时发送带毒压缩包Z058_jpg.zip诱使联系人接收打开： 尝试连接远程IRC 后来我按此特征检查了我的计算机，发现我中的 wdfmgr.exe 病毒还不是它所描述的那种，可能是它的变种或是另外一种。于是继续查找，果然又发现另外的描述： 《引自（/plus/view.php?aid=330）》 病毒描述： 该病毒属蠕虫类。病毒运行后，复制自身到各个盘符根目录下；在%Windir%\Font目录下创建一个资源管理器看不到以MAC地址为名称的文件夹，将病毒复制到该文件夹下，修改注册表，添加启动项；添加大量映像劫持，但并不指向病毒文件，而是指向系统文件；连接网络下载病毒文件，下载的病毒文件主要是盗号木马。 本地行为： 1、文件运行后会释放以下文件： %HomeDrive%\ntldr.exe 19,472 字节 %HomeDrive%\autorun.inf　85 字节 %DriveLetter%\ntldr.exe　19,472 字节 %DriveLetter%\autorun.inf85 字节 %Windir%\Font\(本机MAC地址)\system\wdfmgr.exe 19,472 字节 　　 2、新增注册表： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run] 注册表值: TBMonEx 类型： REG_SZ 值： C:\WINDOWS\Fonts\(本机MAC地址)\system\wdfmgr.exe 描述: 启动项，使病毒文件在当该系统的所有用户登陆该系统时， 运行病毒文件。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称] 注册表值: Debugger 类型： REG_SZ 值： net 描述: 映像劫持项，当系统执行被映像劫持的文件名称时， 将不执行该文件，而是执行映像文件