病毒名称(中文):文件夹下载器36864
病毒别名:威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:36864
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标,扩展名为exe,骗过用户的注意或诱惑用户点击。
1.程序运行后,生成文件
%system32%Security.exe
2.病毒修改注册表键值:
项:HKLMSYSTEMCurrentControlSetServicesPrivilege
键值:DisplayName
指向数据:Performance Logs and Ale
项:HKLMSYSTEMCurrentControlSetServicesPrivilege
键值:ImagePath
指向文件:%systemroot%system32Security.exe
项:HKLMSYSTEMCurrentControlSetServicesPrivilege
键值:Description
指向数据:Intel Registry Service
项:HKLMSYSTEMCurrentControlSetServicesPrivilege
键值:Start
指向数据:02
3.木马执行后,检测%system32%drivers目录下是否存在驱动文件klif.sys,如果存在则以命令行的方式修改系统时间,使部分杀毒软件不能正常使用;
拷贝自身到system32目录下,重命名为Security.exe,修改文件属性为隐藏、系统;用SCM写注册表项将Security.exe注册成名为Privilege的服务,
通过使用相关函数启动被注册的服务;通过相关API函数运行Security.exe;
4.Security.exe运行后,开启一线程关闭“IE 执行保护”与“瑞星卡卡上网安全助手 - IE防漏墙”的安全提示;开启一IEXPLORE.EXE进程,申请内存空间将
病毒一部分代码写入,并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀,并访问恶意网站下载其它病毒程序并运行;遍历盘符在移动存储介质中
释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的方式将病毒原文件删除。