病毒名称(中文):
病毒别名:
Trojan.WinREG.LowZones.b[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
57632
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个自解压并后台运行的病毒,它释放一个批处理文件,一个注册表脚本文件和一个网页文件。然后它运行运行其中的批处理文件,将释放的注册表脚本文件导入注册表,修改IE网络安全设置,使得打开释放的网页文件后下载病毒文件不被发觉。它降低了IE的网络安全设置,为网页病毒打开了方便之门;它还会下载许多其他病毒,使用户面临病毒肆虐的危机。
1.这是一个自解压并后台运行的病毒,它首先释放3个文件:
C:\crash.bat
C:\crash.REG
C:\crash.html
然后运行其中的批处理文件crash.bat,该文件将注册表脚本文件crash.REG导入注册表,修改IE网络安全设置,使得打开crash.html后下载病毒文件不被发觉。
下载文件:
WinAdAlt.exe(Win32.Troj.SyncroAd)
WinAdCtl.exe(Win32.Troj.f)
180ax.exe(Win32.Troj.Adware180SA.f)
mmups.exe
suploads.exe
180ax.log
ide21201.vxd
2.修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0
"1004"=dword:00000000
"1201"=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\1
"1004"=dword:00000000
"1201"=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2
"1004"=dword:00000000
"1201"=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3
"1004"=dword:00000000
"1201"=dword:00000000
"1406"=dword:00000000
"1A04"=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\4
"1004"=dword:00000000
"1201"=dword:00000000
"1001"=dword:00000000
"1200"=dword:00000000
"1400"=dword:00000000
"1606"=dword:00000000
"1607"=dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ProtocolDefaults
"http"=dword:00000000
改变IE网络安全设置。
添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"180ax"="%SystemRoot%\180ax.exe"
"loads.exe"="%SystemRoot%\suploads.exe"
"mediamotor.exe"="C:\WINNT\mmups.exe"