Win32.Troj.Downloader.ll

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

18056

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Windows平台下载木马、广告的程序。病毒运行后将释放出一个伪系统文件的程序,通过可用的网络资源下载相关的木马或其它病毒程序,同时病毒会读取下载后的文件中的内容,根据里面的内容访问相关站点。

病毒主要通过捆绑软件或欺骗安装方式进行传播。

1、病毒运行后释放出以下伪系统文件:

%SysRoot%\programfiles\internetexplorer\iexplore.sys

2、然后将"Iexplore.sys"注入以下两个进程中:

Explorer.exe

TaskMgr.exe

3、注入以上程序成功后病毒会通过枚举taskmgr.exe的输入表来修改"SetThreadDesktop",

将其函数的地址替换为病毒的地址,用于防止用户通过"Windows任务治理器"来终止病毒程序。

4、病毒通过添加以下注册表项,实现病毒的开机自动启动:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys"

5、网络状态可用时,病毒尝试通过网络下载以下文件:

http://www.q***.com/system/NewDown.jpg

http://www.q***.com/system/open.jpg

6、下载完毕后病毒分别读取/解密以上两个文件中的内容.

其中"NewDown.jpg"文件用于下载以文件:

http://www.q***.com/ck/ck3.exe

http://www.q***.com/system/shua.exe

其中"open.jpg"文件用于访问以下相关网站:

http://www.q***.com

http://www.j***.cn

http://www.free***.com

http://www.goo***.cn

http://www.po***.cn

7、病毒同时会在注册表中添加以下注册表值用于判定病毒是否运行:

[HKEY_CURRENT_USER\Software\\Ms\\Open3]

"FirstRun"="Yes"

8、病毒运行过程中会创建一个窗体名为:"012345"类名为:"ScrollBar"的窗体。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航