DOS.Downloader.s.13056
病毒名称(中文):
下载者VBS13056病毒别名:
威胁级别:
★★☆☆☆病毒类型:
网页病毒病毒长度:
13056影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
它是一个下载者脚本病毒,会修改系统时间,使部分安全软件失效,然后从指定的网址下载并执行盗号木马程序,盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》等大型网络游戏。它还具有自动更新的功能。
病毒会判断自身运行时的路径是否在 system32 文件夹下.如果病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.
如果病毒运行时路径不在 system32 文件夹下,则检测当前系统进程中 wscript.exe 进程的数量.
病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件
病毒把自身复制至以下路径:
%windir%`.vbe
%windir%system32`.vbe
病毒对注册表的操作:
创建启动项:
Key: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorer
un
Value: "explorer"
Data: "`.vbe"
修改注册表:
Key: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Value: "ShowSuperHidden"
BeforeData: "1" -- 没被修改前的值
AfterData: "0" -- 修改后的值
读取 %windir%system32wbem 下的 `.vbe 文件与指定的版本号比较和读取配置文件里的某行数据与 1 进行比较,
如果不相同,则重写 %windir%system32wbem`.vbe 文件.(该文件并非病毒复本,但内容与病毒复本差不多)
遍历网络硬盘和可移动硬盘(除 a: 和 b:),删除盘根目录下的 autorun.inf 文件夹,复制病毒配置文件至盘根目录下autorun.inf,
病毒复本至盘根目录下 `.vbs.如果盘根目录下存在 `.vbs 和 autorun.inf ,则会读取数据进行判断是否属该病毒的文件,不同则重写.
病毒会判断系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.
病毒运行后,会把自身`.vbe复制到%windir%目录和%windir%system32目录下,然后修改注册表,实现自启动。接着,遍历网络硬盘和可移动硬盘(除 a: 和 b:),在各盘根目录下生成 `.vbs和病毒配置文件autorun.inf,扩大传染范围。
如果盘根目录下已经存在 `.vbs 和 autorun.inf,病毒便读取其数据,判断是否属自己的病毒文件,如不同,就将其改写为自己的文件。然后,通过检测万象进程的方法判断目前所在的电脑是否为网吧设备,如果不是,就会执行升级过程,下载 temp.txt 文件,从中获取盗号木马的最新下载地址。盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》大型网络游戏等游戏,造成用户网络财产的损失。
此外,这个病毒具有一定的反杀软功能,它将系统时间修改为2002年,使部分安全软件的注册更新失效,无法正常工作,大大降低了用户系统安全性。