病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
18034
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。通过释放autorun病毒通过移动设备传播,并通过自身算法生成随机8位数文件和服务项,达到自启动目的。病毒还会强制隐藏文件属性为隐藏的文件,并尝试关闭卡巴斯基杀毒软件和修改系统时间,在后台打开广告页面,以提高自身alexa排名。
1.复制自身至
{盘符}:\auto.exe
%sys32dir%\{随机8位数}.Exe
并生成
{盘符}:\autorun.inf
%sys32dir%\{随机8位数}.DLL
使用批处理删除自身
2.生成和修改注册表项
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{随机8位数}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReportingDoReportdword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReportingShowUIdword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNTReportBootOkdword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RpcUuidSequenceNumberdword:00256dd2dword:00256dd3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000001dword:00000000
3.生成{随机8位数}系统服务,以达到随机启动目的
显示名称:{随机8位数}
描述:{随机8位数}
4.修改注册表,尝试强制隐藏文件属性为隐藏的文件
5.尝试关闭卡巴斯基反病毒软件
6.在后门打开广告页面,以提高自身alexa流量排名
hxxp://211.100.21.4/info.cnt?id=506267&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://211.100.21.4/info.cnt?id=506265&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://data.alexa.com/data?cli=10&dat=snba&ver=7.2&cdt=alx_vw=20&wid=4830&act=20040000000&ss=1024x768&bw=775&t=0&amznid=chinawebmas0b-20&ttl=0&stc=&vis=1&rq=0&stc&url=
7.尝试修改系统时间为2005-01-18