水库施工方案:WINDOWS下的PE病毒

病毒分类：WINDOWS下的PE病毒

病毒名称：Worm.Deadhat

别 名：清除者

行为类型：WINDOWS下的木马程序

一个利用P2P共享目录及MyDoom留的后门进行传播的蠕虫病毒
病毒行为：
该病毒运行后将自己复制到%system%目录下。并在注册表HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows\CurrentVersion\Run中加入自己
的键值：KernelFaultChk以达到随系统启动的目的。

P2P共享目录传播：
病毒将自己复制到p2p软件的共享目录中，文件名为一些软件的破解或序号生成器以诱骗网络用户
下载。
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe

利用MyDoom留的后门进行传播：
病毒随机扫描MyDoom留的后门端口，并尝试利用该后门将自己复制过去以便去清除Mydoom
从而也达到了传播自己的目的。

进程监视：
病毒扫描系统进程例表当发现和体内的“黑名单”相符的将结束该进程。
avconsol ，apvxdwin ，ackwin32 ，blackice ，blackd ，dv95 ，espwatch ，esafe
efinet32 ，ecengine ，f-stopw ，frw ，fp-win ，f-prot95 ，f-prot95 ，f-prot
fprot ，f-agnt95 ，gibe ，iomon98 ，iface ，icsupp ，icssuppnt ，icmoon ，icmon
icloadnt ，icload95 ，ibmavsp ，ibmasn ，iamserv ，iamapp ，kpfw32 ，nvc95 ，nupgrade
nupdate ，normist ，nmain ，nisum ，navw ，navsched ，navnt ，navlu32 ，navapw32
zapro，Document ，readme ，doc ，text ，file ，data ，test ，message ，body ，taskmon
xsharez_scanner ，BlackIce_Firewall_Enterpriseactivation_crack ，zapSetup_95_693
MS59-56_hotfix ，winamp0 ，NessusScan_pro ，attackXP-6.71.....