病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
2560
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:利用网页漏洞下载并运行,或诱使用户运行
发作条件:
系统修改:
1、在系统下生成如下文件:
%System%secure32.txt
%SystemRoot%system.exe
%SystemRoot%system32system32.dll
%SystemRoot%desktop.exe
%SystemRoot%oolbar.exe
%SystemRoot%mstasks1.exe
%SystemRoot%mstasks2.exe
%SystemRoot%est
%SystemRoot%seksdialer.exe
%SystemRoot%system32wintime.exe
%SystemRoot%system32dkdial.exe
%SystemRoot%system32dial32.exe
%SystemRoot%Webi_XX.gif(XX是01和20之间随机数)
%SystemRoot%Webdesktop.html
2、在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加:
"Wintime"="Wintime.exe"
3、在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
添加:
"ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E}"
4、在注册表
HKEY_CLASSES_ROOTCLSID{0A323FA1-38DE-44EC-B2FA-4002183C143E}InProcServer32
添加:
"默认"="%system%system32.dll"
4、在注册表
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternetSettings
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettings
修改:
"MinLevel"="CodeDownload"
"SafetyWarningLevel"="SucceedSilent"
"Security_RunActiveXControls"="0x01000000"
"Security_RunScripts"="0x01000000"
"TrustWarningLevel"="NoSecurity"
发作现象:
1、尝试中止如下进程:
MCUPDATE.EXE
CFIAUDIT.EXE
AVXQUAR.EXE
AUTOUPDATE.EXE
AUTOTRACE.EXE
AUTODOWN.EXE
AUPDATE.EXE
NUPGRADE.EXE
UPDATE.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
DRWEBUPW.EXE
LUALL.EXE
AVPUPD.EXE
AVWUPD32.EXE
ATUPDATER.EXE
2、尝试通过调制解调器拨打国际长途,使受感染机器,交付高昂的电话费。
非凡说明:
