W32.HLLW.Tufas蠕蟲病毒是通過IRC進行廣泛傳播的,它可以允許黑客非法訪問被病毒感染的計算機。此病毒是運用Borland Delphi語言編寫的,並經過UPX的壓縮處理,其經過解壓後的大小為627,712位元組。此病毒感染安裝有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me作業系統的計算機,而不會感染安裝有Macintosh, Unix, Linux作業系統的計算機。
基本介紹
- 中文名:W32.HLLW.Tufas
- 發現日期 : 2002-10-11
- 病毒類型 : 蠕蟲病毒
- 傳播範圍:低 : 低
基本信息,病毒介紹,
基本信息
病毒名稱:W32.HLLW.Tufas
危害級別:低
傳播速度:低
病毒介紹
1.降低安全設定:允許黑客非法訪問被病毒感染的計算機。
2.此病毒會將自己傳送給指定的IRC伺服器,並也同時將本身傳送給與IRC伺服器相連線的所有IRC用戶。
3.此病毒一旦被激活並開始運行,它會將自己複製到C:\%windir%,並隨機選取病毒名,屬性是隱蔽的。
其中:%windir%是變化的,此木馬病毒會自動尋找機器上的系統目錄,並將自身複製到系統目錄下,默認的是C:\Windows或C:\Winnt。
4.此病毒會將自己所生成的新檔案添加到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
例如:此病毒會將其本身複製到C:\Windows\LchjmYFdlb.exe中,其就會添加鍵值:
__LchjmYFdlb C:\Windows\LchjmYFdlb.exe
到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
5.此病毒會創造鍵值:
BehindProxy 1
DisableSharing 0
KaZaARegKey <the dropped file name in C:\%Windir% folder>
到註冊表編輯器:
HKEY_CURRENT_USER\Software\KAZAA\LocalContent中。
6.此病毒能夠終止如下各反病毒程式的正常運行:
_AVP32
_AVPCC
_AVPM
ALERTSVC
_AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
SCAN
SMSS。
7.此病毒能夠打開TCP的4500連線埠,並且也能夠打開一些隨機的TCP/UDP連線埠。
8.此病毒會在註冊表查看鍵值KaZaARegKey和BehindProxy in是否存在,如果這兩個鍵值都不存在的話,那么它在螢幕上將顯示如下的假信息:
如果點擊了“scan now”按鈕後,會在螢幕上顯示如下的假信息:
如果點擊“OK”後,此病毒將重新啟動計算機。
解決方案:
2.到註冊表編輯器:
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,將此病毒隨機生成的註冊表鍵值清除。
(2)HKEY_CURRENT_USER\Software\KAZAA\LocalContent中將鍵值:
BehindProxy 1
DisableSharing 0
KaZaARegKey <the dropped file name in C:\%Windir% folder>清除。
