病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
266560
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个流氓软件安装包。该流氓软件是一个下载木马下载下来的,并没任何安装提示直接安装在系统中。
1、生成的文件
%ProgramFiles%\CommonFiles\system\Updaterun.exe
%SystemRoot%\system32\rundll2kxp.exe
%SystemRoot%\system32\Score.txt
%SystemRoot%\system32\wbem\ocmor.dll
%SystemRoot%\system32\wbem\sncip.dll
%SystemRoot%\system32\advport.dll
%SystemRoot%\system32\ukxpk.dll
2、添加启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"System"="C:\ProgramFiles\CommonFiles\system\Updaterun.exe"
3、添加伪系统服务
HKLM\System\CurrentControlSet\Services\BRGNS
"Type"="0x10"
HKLM\System\CurrentControlSet\Services\BRGNS
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\BRGNS
"ImagePath"="%SystemRoot%\SYSTEM32\RUNDLL2KXP.EXE%SystemRoot%\SYSTEM32\WBEM\SNCIP.DLL,Export1087"
HKLM\System\CurrentControlSet\Services\BRGNS
"DisplayName"="PerformanceMoniter"
HKLM\System\CurrentControlSet\Services\BRGNS
"Description"="提供系统性能监控服务,保护及优化系统运行环境。"
HKLM\System\CurrentControlSet\Services\ClipArt
"Type"="0x20"
HKLM\System\CurrentControlSet\Services\ClipArt
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\ClipArt
"ImagePath"="%SystemRoot%\System32\svchost.exe-knetsvcs"
HKLM\System\CurrentControlSet\Services\ClipArt
"DisplayName"="COM+ErrorReport"
HKLM\SYSTEM\CurrentControlSet\Services\ClipArt
"Description"="治理基于COM+组件的错误跟踪。无法终止此服务。"
4、将一风险广告链接加入收藏夹
%DocumentsandSettings%\administrator\Favorites\多特软件站-最安全放心的软件站.url
-----------------------------
http://www.duote.***/?hc
-----------------------------
5、该病毒下载地址
http://setup1.tqzn.***/barbindsoft/barsetup.exe
http://setup2.tqzn.***/barbindsoft/barsetup.exe
http://setup3.tqzn.***/barbindsoft/barsetup.exe
http://setup4.tqzn.***/barbindsoft/barsetup.exe
6、该流氓软件会自更新。