尝试结束安全软件进程
7、遍历进行,发现下面的进程则尝试结束关闭:
rfwproxy.exe、rfwmain.exe、rfwsrv.exe、Navapsvc.exe、Navapw32.exe、
EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、
RavLite.exe、Rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、
360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、
WEBSCANX.EXE、Iparmor.exe、PFW.exe、AST.exe、ast.exe、360tray.exe
8、遍历当前激活面板,如果面板父窗口含有以下关键字,则发送关闭消息关闭面板控件:
杀毒、worm、卡巴斯基、超级巡警、江民、离线升级包、金山、Anti、anti、Virus、virus、
Firewall、检测、Mcafee、病毒、查杀、狙剑、防火墙、主动防御、微点、防御、系统保护、绿鹰、
主动、杀马、木马、感染、清除器、上报、举 报、举报、瑞星、进 程、进程、低 安全、Process、
NOD32、拦截、监控、安全卫士、监视、专杀
9、写Autorun.inf进行U盘传播。
文件写入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,且在该目录下建了一个“safe../"的畸形文件夹,用来防止删除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目录。
10、调用Windows系统函数WNetAddConnection2A来连接其它主机的Windows文件共享和远程访问端口(445),一旦连接成功,使用以下密码字典(含空口令)尝试登录administrator账户:
movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、5201314、caonima、88888、bbbbbb、
12345678、memory、abc123、qwerty、123456、111、password、new、enter、hack、xpuser、money、
yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、
123、xp、love、home
如果登录成功,则向目标主机各共享文件夹下写入一个kav32.exe的自身拷贝。
11、向c:\windows\ini目录下写入wsock32.dll,并将该dll复制到硬盘的每一个目录下(系统的目录除外)。
12、向c:\windows\tasks目录下写入“安装.bat”,为插入压缩包作准备。
13、遍历所有目录下的tar、cab、tgz、zip、rar文件,并调用"%ProgramFiles%"目录下的\WinRAR\Rar.exe,使用命令行参数将c:\windows\tasks\安装.bat添加到这些压缩包中。
网友评论