標籤: 暫無標籤

W32.HLLW.Tufas蠕蟲病毒是通過IRC進行廣泛傳播的,它可以允許黑客非法訪問被病毒感染的計算機。此病毒是運用Borland Delphi語言編寫的,並經過UPX的壓縮處理,其經過解壓后的大小為627,712位元組。此病毒感染安裝有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系統的計算機,而不會感染安裝有Macintosh, Unix, Linux操作系統的計算機。

病毒名稱:W32.HLLW.Tufas
發現日期:2002-10-11
病毒類型:蠕蟲病毒
傳播範圍:低
危害級別:低
傳播速度:低
病毒介紹:
1.降低安全設置:允許黑客非法訪問被病毒感染的計算機。
2.此病毒會將自己發送給指定的IRC伺服器,並也同時將本身發送給與IRC伺服器相連接的所有IRC用戶。
3.此病毒一旦被激活並開始運行,它會將自己複製到C:\%windir%,並隨機選取病毒名,屬性是隱蔽的。
其中:%windir%是變化的,此木馬病毒會自動尋找機器上的系統目錄,並將自身複製到系統目錄下,默認的是C:\Windows或C:\Winnt。
4.此病毒會將自己所生成的新文件添加到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
例如:此病毒會將其本身複製到C:\Windows\LchjmYFdlb.exe中,其就會添加鍵值:
__LchjmYFdlb C:\Windows\LchjmYFdlb.exe
到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
5.此病毒會創造鍵值:
BehindProxy 1
DisableSharing 0
KaZaARegKey <the dropped file name in C:\%Windir% folder>
到註冊表編輯器:
HKEY_CURRENT_USER\Software\KAZAA\LocalContent中。
6.此病毒能夠終止如下各反病毒程序的正常運行:
_AVP32
_AVPCC
_AVPM
ALERTSVC
_AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
SCAN
SMSS。
7.此病毒能夠打開TCP的4500埠,並且也能夠打開一些隨機的TCP/UDP埠。
8.此病毒會在註冊表查看鍵值KaZaARegKey和BehindProxy in是否存在,如果這兩個鍵值都不存在的話,那麼它在屏幕上將顯示如下的假信息:
如果點擊了「scan now」按鈕后,會在屏幕上顯示如下的假信息:
如果點擊「OK」后,此病毒將重新啟動計算機。
解決方案:
1.及時升級殺毒軟體,之後認真在整個硬碟上查殺此病毒,徹底清除掉查到的W32.HLLW.Tufas蠕蟲病毒。
2.到註冊表編輯器:
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,將此病毒隨機生成的註冊表鍵值清除。
(2)HKEY_CURRENT_USER\Software\KAZAA\LocalContent中將鍵值:
BehindProxy 1
DisableSharing 0
KaZaARegKey <the dropped file name in C:\%Windir% folder>清除。

相關評論

同義詞:暫無同義詞