Win32.Kriz简介_Win32.Kriz个人资料_Win32.Kriz微博_百科网
A-A+

Win32.Kriz简介_Win32.Kriz个人资料_Win32.Kriz微博

2016-11-28 19:13:50 科学百科 阅读 2 次

概要/Win32.Kriz 编辑

  

病毒别名:
处理时间:2004-04-16
威胁级别:★
中文名称:
病毒类型:Win32病毒
影响系统:win9x/win2K
病毒行为:
Kriz家族

编写工具:
asm

发作条件:
1,当被病毒首次被运行时,病毒修改KERNEL32.DLL,替换了与文件操作的有关函数,这样得以驻留内存,被接管函数如下:
CopyFileA CopyFileW
CreateFileA CreateFileW
DeleteFileA DeleteFileW
MoveFileA MoveFileExA MoveFileW MoveFileExW
GetFileAttributesA SetFileAttributesW
SetFileAttributesA SetFileAttributesExA
CreateProcessA CreateProcessW
2,检测并结束下列进程:
_AVP32.EXE, _AVPM.EXE, AlertSvc.exe, AMON.EXE, AVP32.EXE, AVPM.EXE,
N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,
NAVWNT.EXE, NOD32.EXE, npssvc.exe, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,
SMSS.EXE
3,病毒在11月25号发作,发作时感染任意类型被操作的文件,并清除cmos内容,用垃圾数据填充硬盘,擦除cmos的Flash记忆体(和cih病毒操作方式相同)。

4,这个版本还捆绑了一个funlove蠕虫,同时带有下列字符串:
T-2000 / Immortal Riot
5,病毒通过打开下列句柄检测是否被跟踪:
ntice .ice
如果发现被跟踪也将执行上述破坏代码.
系统修改:


相关条目/Win32.Kriz 编辑

计算机 木马 病毒 网络 软件 系统