病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
28672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个修改上网主页的木马。除此之外,该病毒会连接一个网址,通过网址返回的地址下载并执行一个文件,捕捉的样本中,这些文件为一些后台投票程序。该病毒还会结束一些杀毒软件进程。
1,拷贝文件
%windows%\services.exe
2,连接http://s.****on***.net/ap****de/l***n.asp?ad****un=q***w
并根据返回的内容下载文件到
%SystemRoot%\services.exe
3,由%SystemRoot%\services.exe释放下列文件
%SystemRoot%\pracess4.exe//木马
%SystemRoot%\MSINET.OCX//VB运行库
%SystemRoot%\verify.png//临时文件
4,添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"services"="%windows%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"services"="%windows%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"Run"="%windows%\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
"services"="%windows%\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices
"services"="%windows%\services.exe"
5,结束下列进程
KVMonXP.kxp
KvXP.kxp
KAV32.EXE
KATMain.EXE
adam.exe
ccApp
6,其它
该病毒含有修改主页及修改iexplore.exe关联的代码,但没有执行该部分代码。