概要
病毒別名:處理時間:2004-04-16
威脅級別:★
中文名稱:
病毒類型:Win32病毒
影響系統:win9x/win2K
病毒行為:
Kriz家族
編寫工具:
asm
發作條件:
1,當被病毒首次被運行時,病毒修改KERNEL32.DLL,替換了與檔案操作的有關函式,這樣得以駐留記憶體,被接管函式如下:
CopyFileA CopyFileW
CreateFileA CreateFileW
DeleteFileA DeleteFileW
MoveFileA MoveFileExA MoveFileW MoveFileExW
GetFileAttributesA SetFileAttributesW
SetFileAttributesA SetFileAttributesExA
CreateProcessA CreateProcessW
2,檢測並結束下列進程:
_AVP32.EXE, _AVPM.EXE, AlertSvc.exe, AMON.EXE, AVP32.EXE, AVPM.EXE,
N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,
NAVWNT.EXE, NOD32.EXE, npssvc.exe, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,
SMSS.EXE
3,病毒在11月25號發作,發作時感染任意類型被操作的檔案,並清除cmos內容,用垃圾數據填充硬碟,擦除cmos的Flash記憶體(和cih病毒操作方式相同)。
4,這個版本還捆綁了一個funlove蠕蟲,同時帶有下列字元串:
T-2000 / Immortal Riot
5,病毒通過打開下列句柄檢測是否被跟蹤:
\ntice \.ice
如果發現被跟蹤也將執行上述破壞代碼.
系統修改:
