病毒名称DOS.Downloader.s.13056
威胁级别★★☆☆☆
病毒类型木马下载器
病毒长度13056
影响系统WinNT Win2000 WinXP
病毒行为病毒会判断自身运行时的路径是否在 system32 文件夹下.如果病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.
如果病毒运行时路径不在 system32 文件夹下,则检测当前系统进程中 wscript.exe 进程的数量.
病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件
病毒把自身复制至以下路径:
%windir%`.vbe
%windir%system32`.vbe
病毒会添加启动项,当用户在启动系统时病毒随之启发.
该病毒会通过修改注册表的隐藏键值对系统具有隐藏属性的文件进行隐藏.
读取 %windir%system32wbem 下的 `.vbe 文件与指定的版本号比较和读取配置文件里的某行数据与 1 进行比较,
如果不相同,则重写 %windir%system32wbem`.vbe 文件.(该文件并非病毒复本,但内容与病毒复本差不多)
遍历网络硬盘和可移动硬盘(除 a: 和 b:),删除盘根目录下的 autorun.inf 文件夹,复制病毒配置文件至盘根目录下autorun.inf,
病毒复本至盘根目录下 `.vbs.如果盘根目录下存在 `.vbs 和 autorun.inf ,则会读取数据进行判断是否属该病毒的文件,不同则重写.
病毒会判断系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.