Win32.Troj.Small.cf
威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个硬盘杀手。该病毒会向硬盘分区起始扇区写入垃圾数据破坏硬盘,给破坏的硬盘数据很难恢复。建议中毒用户若有重要数据要恢复应求助于专业数据恢复机构,不要试图自行恢复,以免造成不可挽回的损失。
1、生成的文件
%documents and settings%\\%user%\\lsass.exe
%documents and settings%\\All Users\\lsass.exe
%system_volume%\\system_volume\\lsass.exe
%system_volume%\\system_volume\\desktop.ini
2、非系统盘里添加autorun.inf启动
-------------------------------------
[autorun]
open=.\\system_volume\\system_volume\\lsass.exe
shell\\1=Sb_&
shell\\1\\command=.\\system_volume\\system_volume\\lsass.exe
shell\\2=
shell\\2\\command=.\\system_volume\\system_volume\\lsass.exe
shellexecute=.\\system_volume\\system_volume\\lsass.exe
-------------------------------------
3、病毒不停的设置隐藏属性,是系统总是不显示隐藏文件
HKCU\\software\\microsoft\\windows\\currentversion\\explorer\\advanced
"hidden" = "0x2"
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
"ShowSuperHidden" = "0x0"
4、该病毒在系统中安装一类型为:WH_MSGFILTER消息钩子。
5、该病毒会运行tskill.exe和ntsd.exe命令结束下列名称进程
kvmonxp.kxp
shstat.exe
ravmon.exe
avp.exe