Downloader

王朝百科·作者佚名  2010-02-17
窄屏简体版  字體: |||超大  

【病毒名称】Downloader

【病毒类型】绑架你的浏览器

【中毒症状】

Downloader.Admincash 是一个特洛伊木马程序,它感染Windows系统中安全设置较低的Explorer.exe,同时下载Adware和拨号器。

当Downloader.Admincash 运行时,它执行以下操作:

创建如下互斥实例,以确保同时只有一个木马运行:

BeavisMutex

ButtheadMutex

将自身拷贝为 %System%soft.exe 和 %System%[随机生成文件名].exe

提示: %System% 是系统目录变量,默认情况下它是C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32(Windows NT/2000),或 C:WindowsSystem32 (Windows XP).

创建如下注册表项:

HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components

HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components

将下述键值:

"Web Service" = "%System%[random file name].exe"

添加到如下注册表项:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

un

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

un

添加注册表键值

"run" = "%System%soft.exe"

到:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWindows

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionWindows

添加注册表键值:

"DisableSR" = "0x00000001"

到:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

添加键值:

"EnableFirewall" = "0x00000001"

到注册表项:

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

以用于禁用Windows 的Windows Firewall。

添加键值:

"NoAutoUpdate" = "0x00000001"

"AUOptions" = "0x00000001"

到注册表项:

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

以禁用Windows 的自动更新。

添加注册表键值:

"FirewallDisableNotify" = "0x00000001"

"UpdatesDisableNotify" = "0x00000001"

"AntiVirusDisableNotify" = "0x00000001"

到注册表项:

HKEY_CURRENT_USERSOFTWAREMicrosoft

Security Center

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Security Center

将安全中心的三项设置均设为禁用

创建如下文件:

%Windir%explorer.new

%Windir%wininit.ini

提示: %Windir% 表示 Windows 安装目录,默认情况下是C:Windows 或 C:Winnt.

感染%Windir%explorer.exe 文件。

从 admin2cash.biz 下载一些 adware 和拨号器程序,用途嘛……不必多说了吧。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航