病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
49242
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个Downloader,能下载并运行黑客事先指定的文件。
1:拷贝文件
病毒运行后,会把自己拷贝到系统目录下
%Window%\\SVCHOST.EXE
%Window%\\MDM.EXE(Win32.Troj.Agent.hc)
2:添加注册表
病毒修改注册表不显示隐藏文件
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced
Hidden="0x02"
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue="0x00"
3:添加autorun
病毒会把自己拷贝到每个分区的根目录下,命名为RavMon.exe
并在Aurorun.inf里面添加以下内容
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源治理器(&X)
shell\explore\Command="RavMon.exe-e"
使病毒体能自动运行.
4:下载程序
SVCHOST.EXE会每隔3秒运行一次MDM.exe
MDM.exe会下载并运行黑客事前指定的文件
