Win32.Troj.Autorun.ex.983040

病毒名称(中文):广告宣传单983040

威胁级别★☆☆☆☆

病毒类型木马程序

病毒长度983040

影响系统Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为这是一个木马程序变种。病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程.另外，病毒尝试将自身写入IE保护工具白名单，并自动点击指定网站来增加访问，它还会进行利用QQ窗口传播病毒信息、删除系统中用于存放网页地址数据的hosts文件等破坏活动。

(1)复制自身至%sys32dir%

idiap080124.exe

生成文件

%ALLUSERSPROFILE%「开始」菜单程序启动word.lnk

%windir%ie.ini

%sys32dir%mcdsrv16_080124.dll

%sys32dir%mcdsrv32_080124.dll

使用批处理删除自身

(2)病毒主要依赖word.lnk开机自启动，指向路径%sys32dir%

idiap080124.exe

(3)mcdsrv16_080124.dll通过以下方式加载

rundll32.exe %sys32dir%mcdsrv16_080124.dll start

每隔100ms查找以下关键窗口，如发现则模拟发送按钮消息，使病毒通过"瑞星卡卡"和"卡巴斯基"等的警告

AVP.AlertDialog

AVP.Product_Notification

AVP.TrafficMonConnectionTerm

IE执行保护

瑞星卡卡上网安全助手 - IE防漏墙

(4)mcdsrv32_080124.dll通过注入iexplorer.exe进程，尝试在进程中查找并使用ntsd命令关闭以下进程

RUNIEP.EXE （瑞星卡卡上网安全助手 - IE防漏墙）

KRegEx.exe

KVSXP.kxp

360tray.exe

尝试将自身注册至Browser Helper Objects

SOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

查找以下键值判断系统是否存在IE保护工具，并将自身写入白名单

SoftwareBaiduBaiduBarWhiteList

SoftwareYahooAssistantAssistadwurl

SoftwareMicrosoftInternet ExplorerNew WindowsAllow

SoftwareMicrosoftProtected Storage System Provider

SoftwareMicrosoftInternet ExplorerNew WindowsAllow

SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains

SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapEscDomains

SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapDomains

SoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapEscDomains

SoftwareGoogleNavClient1.1whitelist

查找雅虎和IE保护选项的窗口，并按提示做出相对的回应，如自动去掉拦截提示

查找QQ聊天窗口，使用GetWindowTextA获取聊天窗口文本，尝试在最后插入病毒信息自动发送给对方

病毒会查找"drivers\etc\hosts"文件是否存在，存在则尝试使用DeleteFile删除

下载list.htm，通过点击指定网站来增加访问率

hxxp://32***2.513389.com/list.htm

如

http://www.1**95.cn

http://www.6**23.cn

http://www.w**75.com/bbs/

http://www.o**7.cn

......

从网络下载

hxxp://xx.5***89.com/080125.exe

hxxp://xx.5***89.com/1844112.exe

通过聊天工具传播