订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
18056
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒爲Windows平台下載木馬、廣告的程序。病毒運行後將釋放出一個僞系統文件的程序,通過可用的網絡資源下載相關的木馬或其它病毒程序,同時病毒會讀取下載後的文件中的內容,根據裏面的內容訪問相關站點。
病毒主要通過捆綁軟件或欺騙安裝方式進行傳播。
1、病毒運行後釋放出以下僞系統文件:
%SysRoot%\programfiles\internetexplorer\iexplore.sys
2、然後將"Iexplore.sys"注入以下兩個進程中:
Explorer.exe
TaskMgr.exe
3、注入以上程序成功後病毒會通過枚舉taskmgr.exe的輸入表來修改"SetThreadDesktop",
將其函數的地址替換爲病毒的地址,用于防止用戶通過"Windows任務治理器"來終止病毒程序。
4、病毒通過添加以下注冊表項,實現病毒的開機自動啓動:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys"
5、網絡狀態可用時,病毒嘗試通過網絡下載以下文件:
http://www.q***.com/system/NewDown.jpg
http://www.q***.com/system/open.jpg
6、下載完畢後病毒分別讀取/解密以上兩個文件中的內容.
其中"NewDown.jpg"文件用于下載以文件:
http://www.q***.com/ck/ck3.exe
http://www.q***.com/system/shua.exe
其中"open.jpg"文件用于訪問以下相關網站:
http://www.q***.com
http://www.j***.cn
http://www.free***.com
http://www.goo***.cn
http://www.po***.cn
7、病毒同時會在注冊表中添加以下注冊表值用于判定病毒是否運行:
[HKEY_CURRENT_USER\Software\\Ms\\Open3]
"FirstRun"="Yes"
8、病毒運行過程中會創建一個窗體名爲:"012345"類名爲:"ScrollBar"的窗體。
