病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
114688
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过创建系统服务,间接下载广告木马的下载器病毒。病毒将自身建立为
系统服务,并释放木马下载器,从固定的网址下载并更新广告木马。中毒的机器会
不定期的弹出某网站网页,而且不能运行系统自带注册表工具regedit.exe。
1.病毒运行后,为了达到更新的目的,首先尝试删除以下文件:
%SYSTEM%\INTasks.exe
%SYSTEM%\lsas.exe
%SYSTEM%\service.exe
%SYSTEM%\intersvr.exe
%WINDIR%\Services.exe
%SYSTEM%\svchest.exe
%SYSTEM%\Deleteme.bat
2.假如操作系统是Win9x,病毒将释放systems.exe文件到%SYSTEM%目录下,并
在注册表中建立启动项,以实现开机自启;假如是Win2K、WinXP的系统,病
毒将释放winnt.exe文件到%SYSTEM%目录下,并在注册表中建立启动项,以实
现开机自启。释放的文件实际上是木马下载器(毒霸可查),它会注入IE进程
,除了下载更新木马外,还会不定期的弹出某个网址的网页,并会禁止使用系
统自带的注册表工具regedit.exe。
3.接着病毒尝试删除以下两个注册表键值:
HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}
HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{2bf41072-b2b1-21c1-b5c1-0305f4155515}
4.病毒将自身拷贝到%SYSTEM%目录下,命名为lsas.exe,并通过建立系统
服务的方式实现自启动,在注册表中会留下以下键值:
[HKLM\SYSTEM\CurrentControlSet\Services\MSYM_Ser]
Description="监视配置或跟踪信息的所有驱动程序和事件跟踪提供程序。"
DisplayName="SystemManagementsInstrumenta"
ErrorControl=0x00000000
ImagePath="%SYSTEM%\lsas.exe-service"
ObjectName="LocalSystem"
Start=0x0000002
Type=0x0000010
5.此外该病毒还具有一定的蠕虫特性,它会遍历系统的共享资源,并将自身进行拷贝,
以实现局域网内的传播。