病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
5250
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下载其它木马的病毒,病毒运行后将自身复制为伪系统正常程序;利用注入技术绕过
网络防火墙的监视下载其它病毒。
病毒主要通过系统漏洞,欺骗安装方式进行传播。
1、病毒将自身复制为以下伪系统正常文件:
%Windir\Winsvc.exe
2、病毒运行后将自身添加为以下注册表自启动项,使病毒开机后运行病毒:
[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\run]
WinSvc="%Windir\Winsvc.exe"
3、病毒首先通过"%Root%\ProgramFiles\InternetExplorer\IEXPLORE.EXE",然后将
下载代码注入刚创建的IE进程中,假如启动IE进程失败,则病毒枚举svchost.exe的进程,
然后将下载代码注入svchost进程。
4、网络资源可用时,病毒连接以下网站下载并运行其它木马:
http://www.52***.net/xiazai/run.exe
下载后保存为:%Windir%\system32\0.exe
