病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
28672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下盗取用户隐私信息的病毒,病毒伪装成系统文件迷惑用户,以达到隐藏目的。病毒运行后将自己复制到Windows目录下,然后将病毒程序写入注册表自启动项;然后打开定时器,进行实时检测用户机器上是运行了相关杀毒软件,检测出杀毒软件时强行终止杀毒软件程序进程。同时病毒试尝通过网络连接到病毒作者的网站,然后从网上下载病毒/风险程序等。
病毒主要通过捆绑或其它欺骗方式进行感染。
1、病毒运行后将自复制到Windows目录
伪装成系统文件:%windir%\services.exe。
2、若系统为Win9x,病毒调用RegisterServiceProcess进行隐藏进程;
3、定时检测进程中是否有以下进程,假如发现则终止其进程:
KVMonXP.kxp,KvXP.kxp
KAV32.EXE,KATMain.EXE
adam.exe
4、查找窗体标题名:"ccApp",找到则发送关闭窗体消息。
5、写相关注册表自启动项:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\run
键名:services
值:Windir%\services.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentVersion\run
键名:services
值:Windir%\services.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices
键名:services
值:Windir%\services.exe
HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Runservices
键名:services
值:Windir%\services.exe
6、写入Win.ini自启动项:
Run=%windir%\services.exe
7、尝试访问以下网站下载病毒作者指定的程序:
http://s.dra****.net/aptitude/login.asp?admin_un=****&Code=***