病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
18056
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下载木马、广告的程序。病毒运行后将释放出一个伪系统文件的程序,通过可用的网络资源下载相关的木马或其它病毒程序,同时病毒会读取下载后的文件中的内容,根据里面的内容访问相关站点。
病毒主要通过捆绑软件或欺骗安装方式进行传播。
1、病毒运行后释放出以下伪系统文件:
%SysRoot%\programfiles\internetexplorer\iexplore.sys
2、然后将"Iexplore.sys"注入以下两个进程中:
Explorer.exe
TaskMgr.exe
3、注入以上程序成功后病毒会通过枚举taskmgr.exe的输入表来修改"SetThreadDesktop",
将其函数的地址替换为病毒的地址,用于防止用户通过"Windows任务治理器"来终止病毒程序。
4、病毒通过添加以下注册表项,实现病毒的开机自动启动:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys"
5、网络状态可用时,病毒尝试通过网络下载以下文件:
http://www.q***.com/system/NewDown.jpg
http://www.q***.com/system/open.jpg
6、下载完毕后病毒分别读取/解密以上两个文件中的内容.
其中"NewDown.jpg"文件用于下载以文件:
http://www.q***.com/ck/ck3.exe
http://www.q***.com/system/shua.exe
其中"open.jpg"文件用于访问以下相关网站:
http://www.q***.com
http://www.j***.cn
http://www.free***.com
http://www.goo***.cn
http://www.po***.cn
7、病毒同时会在注册表中添加以下注册表值用于判定病毒是否运行:
[HKEY_CURRENT_USER\Software\\Ms\\Open3]
"FirstRun"="Yes"
8、病毒运行过程中会创建一个窗体名为:"012345"类名为:"ScrollBar"的窗体。
