病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
90624
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个从网上下载病毒文件的下载器,并可以通过移动存储介质传播。
1、复制自身为:%system%\moviemk.exe
2、创建一个服务:
Name:MedieSarielNumberServices
DisplayName:MedieSarielNumberServices
ImagePath:%system%\moviemk.exe
相要害值如下:
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\TypeSUCCESS0x110
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\Start0x2
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\ErrorControl0x0
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\ImagePath"%system%\moviemk.exe"
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\DisplayName"MedieSarielNumberServices"
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\Security\Security0100148090000000...
HKLM\System\CurrentControlSet\Services\MedieSarielNumberServices\ObjectName"LocalSystem"
3、搜索盘符为E到O的可移动磁盘,将自身复制为根目录下的文件Setup.pif,并在根目录下创建文件autorun.inf,autorun.inf的内容如下:
[autorun]
shellexecute=Setup.pif
4、对系统进程svchost.exe进行注入,通过svchost.exe来下载病毒文件,下载过程如下:
先从网址http://evil***.cn/m2.txt下载一个病毒下载地址列表文件到本地,然后从该列表中的地址来下载病毒文件并执行。
