病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
15065
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。病毒运行后复制自身至系统文件夹,并注册系统服务达到自启动目的。病毒通过伪装系统svchost.exe进程,在后台下载大量隐蔽软件
安装至用户计算机,有可能会造成用户计算机瘫痪。
另外,病毒还会关闭金山清理专家等安全工具,来保护自身不被清除。
1.复制自身至
%sys32dir%\dllcache\1028\svchost.exe
然后利用批处理删除自身
2.添加注册表服务项以自启动
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
3.伪装系统svchost.exe进程,并通过搜索系统进程来关闭以下安全工具
KASMain(金山清理专家)
360(360安全卫士)
4.尝试连接远程服务器下载大量隐蔽软件
hxxp://www.xxxx.cn/xx/xx.exe
hxxp://down.vxxxv.com/union/xxxx.exe
hxxp://down.vxxxv.com/union/xxx.exe