病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
36352
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的其它木马下载器,病毒运行后将释放出伪系统正常文件,然后运行释放出的程序,释放出的程序运行后将下载代码注入系统正常程序进程进行下载其它病毒。
病毒主要通过软件捆绑方式进行传播。
1、病毒运行后释放出以下伪系统正常文件:
%Windir%\system32\dserver.exe
2、病毒添加如下注册表项,使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe%Windir%\system32\dserver.exe"
[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"dserver.exe"="%Windir%\system\dserver.exe"
3、病毒通过删除以下注册表项使病毒生成的临时程序可以被正常执行:
主键:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
名称:NoRealMode
4、病毒运行过程中通过查找窗体类名为"Shell_TrayWnd"来定位Explorer进程,然后将下载代码注入该进程中进行下载其它病毒。
5、网络可用时病毒下载以下病毒程序:
http://www.56*.net.cn/mm/1.exe
http://www.56*.net.cn/mm/2.exe
http://www.56*.net.cn/mm/3.exe
http://www.56*.net.cn/mm/4.exe
http://www.56*.net.cn/mm/5.exe
http://www.56*.net.cn/mm/6.exe
http://www.56*.net.cn/mm/7.exe
http://www.56*.net.cn/mm/8.exe
http://www.56*.net.cn/mm/9.exe
http://www.56*.net.cn/mm/10.exe
http://www.56*.net.cn/mm/11.exe
http://www.56*.net.cn/mm/12.exe
http://www.56*.net.cn/mm/13.exe
http://www.56*.net.cn/mm/14.exe
http://www.56*.net.cn/mm/15.exe
http://www.56*.net.cn/mm/16.exe
http://www.56*.net.cn/mm/17.exe
http://www.56*.net.cn/mm/18.exe
http://www.56*.net.cn/mm/19.exe
http://www.56*.net.cn/mm/20.exe
http://www.56*.net.cn/mm/21.exe
http://www.56*.net.cn/mm/22.exe
http://www.56*.net.cn/mm/23.exe
http://www.56*.net.cn/mm/24.exe
http://www.56*.net.cn/mm/25.exe
http://www.56*.net.cn/mm/26.exe
http://www.56*.net.cn/mm/27.exe
http://www.56*.net.cn/mm/28.exe
http://www.56*.net.cn/mm/29.exe
http://www.56*.net.cn/mm/30.exe