病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
36912
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。病毒运行后通过算法加密自身文件,复制至系统文件夹,同时释放随机8位数文件名的文件和系统服务。病毒通过加载进程,在后台打开广告显示窗口,利用用户提高自身alexa流量排名。另外,病毒还尝试修改系统时间和关闭卡巴斯基杀毒软件。
1.加密后释放自身至
%sys32dir%\{随机8位数文件名}.exe
生成文件
%sys32dir%\{随机8位数文件名}.dll
%sys32dir%\{随机8位数文件名}.exe
使用批处理删除自身
2.生成和修改注册表
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReportingDoReportdword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReportingShowUIdword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNTReportBootOkdword:00000001
3.生成随机8位数系统服务项
名称:随机8位数
描述:"为系统提供加速启动功能(d-sp1)。"
路径:"%sys32di5%\{随机8位数文件名}.EXE-a"
4.加载进程,在后台打开广告显示窗口,利用用户提高自身alexa流量排名
hxxp://211.100.21.4/info.cnt?id=506267&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://211.100.21.4/info.cnt?id=506265&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://data.alexa.com/data?cli=10&dat=snba&ver=7.2&cdt=alx_vw=20&wid=4830&act=20040000000&ss=1024x768&bw=775&t=0&amznid=chinawebmas0b-20&ttl=0&stc=&vis=1&rq=0&stc&url=
5.尝试修改系统时间为2005-01-18
6.尝试关闭卡巴斯基反病毒软件