病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
31744
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下木马下载器,病毒运行后利用注入技术绕过防火墙的监视,然后将病毒下载木马的代码和地址注入到系统正常进程中执行病毒代码,下载完毕后病毒注入执行代码至系统正常进程中执行下载后的木马或其它病毒。
病毒主要通过捆绑软件方式进行传播。
1、病毒运行后将自身复制伪系统正常文件,文件名如下:
%WinDir%\System32\winsvc.exe
2、检测病毒程序所在分区中是否存在"*:\ProgramFiles\InternetExplorer\IEXPLORE.EXE",存在则直接运行该程序,进行注入操作;
假如该文件不存在则运行系统目录中的"%WinDir%\system32\svchost.exe",
然后能过"svchost.exe"将IE运行。
3、病毒将下载后的木马或其它病毒保存到:"%Windir%\System32\0.exe",下载完毕后将执行代码注入IE进程中,以执行病毒程序。
4、病毒通过添加以下注册表项,使病毒开机后自动运行:
[HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinSvc="c:\winnt\system32\winsvc.exe"
5、病毒添加以下注册项,用以标记下载状态:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager]
@="1"
