病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
63954
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个会隐藏自己的木马,它能通过挂接系统函数来隐藏自身,
并把受感染机器的信息发送到木马种植者中,而且还能下载并运行病毒.
1:拷贝文件
病毒运行后,会把自己拷贝到system32目录下,命名为taskdir.exe,
并在同一目录下释放一个名为taskdir.dll的文件(Win32.Troj.Lager.aq.4608)
如下所示:
%system%\taskdir.dll
%system%\taskdir.exe
2:更改注册表
病毒会在注册中添加一项,使自己能随Windows启动.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
taskdir->%system%\taskdir.exe
3:隐藏自己
病毒会调用taskdir.dll,挂接(Hook)系统函数,使用户用普通的方法不能看到病毒的进程.
但可能是由于设计不完善,会造成软件的崩溃或系统重启.
4:收集信息并发送
病毒会收集受感染系统的信息,并把收集到的信息发送到这里:
http://**.***.22.240/sp/post.php
使木马种植很轻易得知受感染机器的情况.
5:下载病毒
病毒会从这两个网址中下载病毒并运行,使用户的机器受到更多的病毒感染.
http://**.***.3.175/cp/rule.php
http://***.***.179.107/cp/rule.php
