Win32.CWS.Downloader.ai.17408

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

17408

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载器，它从网络上下载木马病毒到用户的机器上后运行，

使用户的机器受到木马的感染，使用户的资料泄漏。

1：隐藏窗口

病毒首先寻找窗口名为"C:\DocumentsandSettings\AllUsers\StartMenu\Programs\Startup\MicrosoftOffice.hta"

的窗口,并把此窗口隐藏。

2：拷贝文件

把自身拷贝到C:\WINDOWS\inet20091下，并命名为services.exe。

之后再激活病毒。

3：中止进程

病毒会中止一些常见的反病毒程序的进程，如：

ARMOR2NET.EXE

SAVSCAN.EXE

NPROTECT.EXE

NVSVC32.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

ACKWIN32.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCTRL.EXE

AVKSERV.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLEANER.EXE

CLEANER3.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

ESAFE.EXE

ESPWATCH.EXE

F-AGNT95.EXE

FINDVIRU.EXE

FPROT.EXE

F-PROT.EXE

F-PROT95.EXE

FP-WIN.EXE

FRW.EXE

F-STOPW.EXE

IAMAPP.EXE

IAMSERV.EXE

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

IOMON98.EXE

JEDI.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

NAVAPW32.EXE

NAVLU32.EXE

NAVNT.EXE

NAVW32.EXE

NAVWNT.EXE

NISUM.EXE

NMAIN.EXE

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

OUTPOST.EXE

PADMIN.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

RAV7.EXE

RAV7WIN.EXE

RESCUE.EXE

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

VET95.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZONEALARM.EXE

4：改写注册表

病毒会改写注册表，使病毒能随Windows启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在这两处加入"xp_system"，都指向病毒体。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}

设为0

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

把"EnableBrowserExtensions"设为yes

5：修改系统配置文件

病毒本体修改%window%\win.ini文件，在"Windows"节里面加入两行:

run=病毒本体位置

load=病毒本体位置

6：未经用户授权就下载文件

病毒会在未经用户授权的情况下下载此文件;

h**p://reka-traffa.com/gallery20091/xpsystem/rxs.ini.php

h**p://maxysearch.info/gallery20091/xpsystem/rxs.ini.php

h**p://c.eurodialer.net/gallery20091/xpsystem/rxs.ini.php

到c:\_halt目录下，然后运行此文件