提升病毒进程权限
4、提升病毒进程权限,遍历进程,如发现以下进程名就结束:
360Safe.exe、360tray.exe、360rpt.EXE、Runiep.exe、RAv.exe、CCenter.EXE、
RAVMON.EXE、RAVMOND.EXE、GuardField.exe、Ravxp.exe、GFUpd.exe、
kmailmon.exe、kavstart.exe、kwatch.exe、sharedaccess、McShield、KWhatchsvc、
KPfwSvc、Symantec AntiVirus、Symantec AntiVirus Drivers Services、Symantec
AntiVirus Definition Watcher、Norton AntiVirus Server、UpdaterUI.exe、rfwsrv.exe、
rfwProxy.exe、rfwstub.exe、RavStub.exe、rfwmain.exe、rfwmain.exe、TBMon.exe、
KASARP.exe、scan32.exe、VPC32.exe、VPTRAY.exe、ANTIARP.exe、
KRegEx.exe、KvXP.kxp、kvsrvxp.kxp、kvsrvxp.exe、KVWSC.EXE、
Iparmor.exe、Avp.EXE、VsTskMgr.exe
5、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.EXE、360safe.EXE、360tray.EXE、Ast.EXE、AVP.EXE、AvMonitor.EXE、
CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、、KVSrvXP.EXE、
KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、
Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、
Regedit.EXE、AutoRunKiller.EXE"、VPC32.EXE、VPTRAY.EXE、
ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、
kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、
RavStub.EXE、rfwstub.EXE、rfwstub.EXE、rfwProxy.EXE、rfwsrv.EXE
6、修改注册表项,隐藏文件夹
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall "CheckedValue"
7、添加注册表项创建服务,加载驱动beep.sys,同时创建设备".RESSDTDOS"用来做驱动程序与应用程序的交互
8、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
9、查找窗口类名为“IEFrame”的窗口,如存在就向该该窗口所在的进程中写入恶意代码。
网友评论