HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork破壞安全模式
然后在臨時文件夾內(nèi)創(chuàng)建一個名為LiTdi.sys的驅(qū)動,創(chuàng)建名為LiTdi服務����,并啟動服務。查找相關(guān)殺毒軟件或安全軟件進程�,并向驅(qū)動發(fā)送IO控制碼的方式結(jié)束相關(guān)進程。
病毒還會調(diào)用IE訪問http://nbtj.114anhui.com/msn/163.htm做感染統(tǒng)計���。從表項中依次選擇下載十幾種惡意程序����,其中多數(shù)為盜號木馬�����。
病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx文件��,對于擴展名為.rar的文件���,病毒還會解包感染以上擴展名文件后再壓縮回去��。對于htm,html,asp,aspx的網(wǎng)頁文件�,病毒會在其尾部加上" "的惡意代碼����,使得這些網(wǎng)頁文件成為病毒的二次傳播源�,用戶一旦點擊這些被感染文件����,則會被病毒感染。
病毒還會通過自動播放功能傳播����。查找可移動存儲設備并在其根目錄下生成autorun.inf�����,建立一個名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夾����,把%SystemRoot%system32dllcachelsasvc.dll復制到該目錄下為Ghost.exe。
通過自帶的弱密鑰列表對網(wǎng)上鄰居進行猜解���,被猜解成功的管理員賬戶密碼的計算機將受到感染�;如果連接成功��,則將C:WINDOWSsystem32dllcachelsasvc.dll拷貝到對方機器的C:cm.exe��,同時創(chuàng)建計劃任務以激活該病毒。
針對該病毒�,江民殺毒軟件KV2010已緊急升級,用戶只需升級殺毒軟件到最新病毒庫�,開啟主動防御和實時監(jiān)控,即可有效防御病毒���,免遭"無極殺手"病毒侵害����,確保電腦數(shù)據(jù)安全���。
