病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
68271
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个具有隐藏自身进程功能的木马下载器,此外该病毒还会获取被感染机器
的信息,并发送到指定的网址。
1.病毒在检查注册表中检查标志项,判定机器是否被感染:
[HKLM\SOFTWARE\UseFul]
"Id"="..."
病毒还会确认该标志项是否只含有8个字节。
2.假如是首次运行,病毒将自身复制到%WinDir%\system32\目录下,命名为
lvsrev.exe,并在注册表中添加标志项,和启动项,以实现开机自启:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msserv"=%WinDir%\system32\lvsrev.exe
3.接着病毒对操作系统进行判定,假如是NT/2000/XP系统,病毒将释放驱动
文件InvisibelDrvNT.sys(毒霸可查,Win32.Hack.HideProc.a)到
%WinDir%\system32\dirvers\目录下,并加载该驱动,以隐藏病毒进程;
同时,病毒还将该驱动文件注册为名为“InvisibleDrvNT”的系统服务。
4.接着病毒创建线程,下载http://flex-******t.com/ad***ima/useful.exe
文件,保存在系统目录下,命名为svclocal.exe(毒霸可查Win32.Troj.Qhost.u),
并运行之。这又是一个修改hosts文件和IE首页的木马病毒。
5.病毒还会建立线程获取中毒机器IP,端口等信息并发送到指定的网址。
