关闭windows文件保护
3、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
4、遍历当前进程,如果进程里有avp.exe就将系统时间修改为1987年,使卡巴斯基软件失效。
5、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
auto.exe、AutoRun.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、cross.exe、FileDsty.exe、
FTCleanerShell.exe、guangd.exe、HijackThis.exe、 IceSword.exe、iparmo.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、
KPFW32X.exe、KPFWSvc.exe、KRegEx.exe、KRepair.COM、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、
kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exeKWatchX.exe、loaddll.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、
nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
QQDoctor.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、
RavTask.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、
RsAgent.exe、Rsaupd.exe、RStray.exe、runiep.exe、safelive.exe、scan32.exe、
SDGames.exe、shcfg32.exe、ShuiNiu.exe、SmartUp.exe、sos.exe、SREng.exe、
svch0st.exe、symlcsvc.exe、SysSafe.exe、Systom.exe、taskmgr.exe、TNT.Exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、TxoMoU.Exe、UFO.exe、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
UmxPol.exe、UpLive.EXE、WoptiClean.exe、XP.exe、zxsweep.exe
6、修改注册表项,隐藏文件夹。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showall "CheckedValue"
网友评论