病毒大百科

这是一个通过漏洞和网络共享传播的后门病毒,该病毒利用MS05-039等漏洞在网络上传播,感染该病毒的机器会反向链接到mIRC服务器上,接受其他人的控制.该病毒还会修改大量的注册表的设置,对用户的机器带来巨大的风险.而且该病毒会通过各种手段反调试,对抗分析.

1.生成文件:
%system%\Sc32Inch.exe

2.添加注册表,把病毒添加到登陆中去:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell
Sc32Inch.exe

3.添加注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions
Scmelt
%system%\Sc32Inch.exe

4.添加服务:

服务名称:Sc32Inch
服务说明:Socks-Cap Directory Service IIS Applications
服务程序:%system%\Sc32Inch.exe

5.修改以下注册表键值:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify
SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
SOFTWARE\Microsoft\Security Center
FirewallDisableNotify
SOFTWARE\Microsoft\Security Center
AntiVirusOverride
SOFTWARE\Microsoft\Security Center
FirewallOverride
SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
AUOptions
SYSTEM\CurrentControlSet\Services\wscsvc
Start
SYSTEM\CurrentControlSet\Services\TlntSvr
Start
SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start

6.尝试下载以下文件:
nfs-cd.zip
oscttssh.exe
RealTime1.sea.bin
aim.exe
lusetup.exe
NVIDIA_EuroNews_English.wmv