病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
8142
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器,病毒通过多种方式从以配置好的URL链接(已加密)下载文件,
并运行之。由于采用了主动进程注入的方法,病毒一旦运行很难被发现。
1.病毒可以以多种方式进行下载操作:
i)标准方式(无进程注入)
ii)释放动态链接文件(文件名随机产生,毒霸可查),搜索正在运行的浏览器,
并进行注入,这些浏览器包括:
"IEFrame"
"MozillaWindowClass"
"OpWindow"
"nsToolkitClass"
"AOLFrame25"
"TfrmAvantBrowser"
iii)以隐藏模式运行InternetExplorer,然后注入InternetExplorer进程
iv)主动运行IM软件:MSN和Trillian,然后注入这些进程。
2.病毒还会修改注册表,修改网页文件的默认打开方式,以便获得运行的机会。
3.病毒文件运行后,并不立即执行下载操作,而是依据预先的设置,作一定时间的
延迟。文件下载后,病毒会用系统默认的方式将下载文件打开。