Win32.Troj.Downloader.ll

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 18056 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲Windows平台下載木馬、廣告的程序。病毒運行後將釋放出一個僞系統文件的程序，通過可用的網絡資源下載相關的木馬或其它病毒程序，同時病毒會讀取下載後的文件中的內容，根據裏面的內容訪問相關站點。 病毒主要通過捆綁軟件或欺騙安裝方式進行傳播。 1、病毒運行後釋放出以下僞系統文件: %SysRoot%\programfiles\internetexplorer\iexplore.sys 2、然後將"Iexplore.sys"注入以下兩個進程中: Explorer.exe TaskMgr.exe 3、注入以上程序成功後病毒會通過枚舉taskmgr.exe的輸入表來修改"SetThreadDesktop"， 將其函數的地址替換爲病毒的地址，用于防止用戶通過"Windows任務治理器"來終止病毒程序。 4、病毒通過添加以下注冊表項，實現病毒的開機自動啓動： [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys" 5、網絡狀態可用時，病毒嘗試通過網絡下載以下文件： http://www.q***.com/system/NewDown.jpg http://www.q***.com/system/open.jpg 6、下載完畢後病毒分別讀取/解密以上兩個文件中的內容. 其中"NewDown.jpg"文件用于下載以文件: http://www.q***.com/ck/ck3.exe http://www.q***.com/system/shua.exe 其中"open.jpg"文件用于訪問以下相關網站: http://www.q***.com http://www.j***.cn http://www.free***.com http://www.goo***.cn http://www.po***.cn 7、病毒同時會在注冊表中添加以下注冊表值用于判定病毒是否運行: [HKEY_CURRENT_USER\Software\\Ms\\Open3] "FirstRun"="Yes" 8、病毒運行過程中會創建一個窗體名爲:"012345"類名爲:"ScrollBar"的窗體。