病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
12383
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马病毒,该病毒会从网络下载其他木马病毒到本地系统运行,还会下载一个hosts文件用以替换系统正常的hosts文件,禁止用户访问某网站并使某IP对应某些木马网站,一旦用户访问该IP,浏览器就会自动跳转到这些木马网站。
1.该病毒下载多个木马病毒到本地系统:
释放木马病毒Win32.Troj.QQRobber.fb到:
[临时文件夹]\qq[1].exe
[临时文件夹]\cq1[1].exe
C:\WINNT\System32\NTdHcP.exe
C:\WINNT\System32\cq2.exe
C:\ProgramFiles\CommonFiles\update\pp2.exe
释放病毒Win32.Troj.PSWThief.m到:
[临时文件夹]\gezi[1].exe
C:\ProgramFiles\CommonFiles\update\pp3.exe
C:\ProgramFiles\CommonFiles\System\svchost.exe
释放病毒Win32.Troj.Agent到:
[临时文件夹]\arsetup[1].exe
C:\ProgramFiles\CommonFiles\System\arsetup.exe
释放病毒释放病毒Win32.Troj.Delf.fd到:
[临时文件夹]\aichong[1].exe
C:\ProgramFiles\CommonFiles\update\pp4.exe
释放病毒Win32.Troj.Downloader.tr到:
[临时文件夹]\cq[1].exe
C:\ProgramFiles\CommonFiles\update\pp1.exe
释放病毒Win32.Troj.Small到:
[临时文件夹]\cq2[1].exe
C:\WINNT\System32\cq.exe
释放病毒Win32.Troj.Delf到:
C:\ProgramFiles\CommonFiles\update\update.exe
2.添加注册表启动项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"="C:\WINNT\System32\NTdhcp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost"="C:\ProgramFiles\CommonFiles\System\svchost.exe"
HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
"ScanRegistry"="C:\ProgramFiles\CommonFiles\update\update.exe"
3.从网络上下载一hosts文件到临时文件夹并替换系统的hosts文件禁止用户访问某网站并使某IP对应某些木马网站。
