病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
病毒构造器
病毒长度:
1584128
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器的生成器,它能按木马种植者的要求生成一个下载者病毒(Win32.Troj.Downloader.hk.10760),该下载者病毒能把自己插入InternetExplorer或Explorer.exe进程运行,由于这两个进程都是正常系统的进程,
所以用户很难发现病毒的存在.
1:输入信息
该木马生成器运行后,要求用户输入一些信息,如:木马地址,木马文件保存地址,加壳类型,插入线程等,木马种植者输入信息后,就能得到一个下载者病毒,病毒名为Win32.Troj.Downloader.hk.10760或Win32.Troj.Downloader.hk.7388(加壳类型的不同,文件大小也不一样).
2:下载者病毒的分析
若木马种植者指定病毒插入Explorer进程运行时,则病毒就会把自己完全拷贝到Explorer的进程空间里面运行,
期间不生成新的进程,它能从木马种植者指定的网址上下载木马,
并保存到C:\ProgramFiles\目录下,文件名为网络上木马文件的名字,
当下载完成后,病毒会自动的运行,使用户的机器受到其它的木马的感染;若木马种植者指定了病毒插入IE进程,则病毒就会先检查系统中有没有IE的进程,
若有,就直接把自己插入IE的进程空间运行,若没有,病毒会创建一个窗口隐藏的IE,并把自己插入到里面运行.因为Explorer与IE都是正常的系统进程,即使网络防火墙报告此进程访问网络,用户也不一定能完全判定是否是病毒的下载行为;
建议用户不要运行来历不明的文件.