worm.win32.ms08-067的病毒运行
1个回答
展开全部
1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行;
2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的;
3、判断是否能找到svchost.exe -k netsvcs 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件;
4、针对services.exe、svchost.exe -k netsvcs、svchost.exe -k NetworkService进程进行DNS查询以及TCP传输过程拦截;
5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站;
6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
