病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
20142
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个引诱用户下载不明文件的病毒。
病毒运行后,会把自己拷贝到c:\windows下,命名为xpupdate.exe
随后在注册表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加一个名为windowsupdateloader的键,
指向c:\windows\xpupdate.exe,使病毒随windows启动
病毒会创建5条线程工作,两条线程负责生成提示字符串的工作,
一条用于下载文件,一条用于寻找窗口,一条用于提醒用户;
病毒会不断的提醒用户,说系统在危险中,点击安装最新版的保护软件。文字信息如下:
YourcomputerisinDanger!
WindowsSecurityCenterhasdetectedspyware/adwareinfection!
Itisstronglyrecommendedtousespecialantispywaretoolstopreventdataloss.
Clickheretoinstallthelatestprotectiontools!
若用户点击了,病毒就会利用下载文件的线程从网上下载一个文件运行,
该文件的位置是
h**p://download.bravesentry.com/download.php?&advid=00000278&u=%u&p=%u
(参数u与p不恒定)
其中寻找窗口的线程则不断在寻找窗口名为"permissiondlg"
的窗口,若发现该窗口的话就向"&yes"按钮发送消息,模拟点击。
由于病毒下载并运行了类型不明的文件,若是木马的话就会使用户资料泄漏。