Win32.Troj.IEInjDowner.a

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

114688

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个通过创建系统服务,间接下载广告木马的下载器病毒。病毒将自身建立为

系统服务,并释放木马下载器,从固定的网址下载并更新广告木马。中毒的机器会

不定期的弹出某网站网页,而且不能运行系统自带注册表工具regedit.exe。

1.病毒运行后,为了达到更新的目的,首先尝试删除以下文件:

%SYSTEM%\INTasks.exe

%SYSTEM%\lsas.exe

%SYSTEM%\service.exe

%SYSTEM%\intersvr.exe

%WINDIR%\Services.exe

%SYSTEM%\svchest.exe

%SYSTEM%\Deleteme.bat

2.假如操作系统是Win9x,病毒将释放systems.exe文件到%SYSTEM%目录下,并

在注册表中建立启动项,以实现开机自启;假如是Win2K、WinXP的系统,病

毒将释放winnt.exe文件到%SYSTEM%目录下,并在注册表中建立启动项,以实

现开机自启。释放的文件实际上是木马下载器(毒霸可查),它会注入IE进程

,除了下载更新木马外,还会不定期的弹出某个网址的网页,并会禁止使用系

统自带的注册表工具regedit.exe。

3.接着病毒尝试删除以下两个注册表键值:

HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}

HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{2bf41072-b2b1-21c1-b5c1-0305f4155515}

4.病毒将自身拷贝到%SYSTEM%目录下,命名为lsas.exe,并通过建立系统

服务的方式实现自启动,在注册表中会留下以下键值:

[HKLM\SYSTEM\CurrentControlSet\Services\MSYM_Ser]

Description="监视配置或跟踪信息的所有驱动程序和事件跟踪提供程序。"

DisplayName="SystemManagementsInstrumenta"

ErrorControl=0x00000000

ImagePath="%SYSTEM%\lsas.exe-service"

ObjectName="LocalSystem"

Start=0x0000002

Type=0x0000010

5.此外该病毒还具有一定的蠕虫特性,它会遍历系统的共享资源,并将自身进行拷贝,

以实现局域网内的传播。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航