病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
19182
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马下载器。当用户执行该病毒后,病毒会生成wow.ico进程,然后注入到系统进程,
从而通过系统与网络相关的进程下载大量的盗号木马。并且在用户各盘都生成了隐藏属性的AUTO病毒,用户在
不经意双击鼠标进入盘符时,病毒即刻触发。
1.病毒运行后,产生以下病毒文件
%windows%\system32\inituser.exe
2.病毒运行成功后,自动删除病毒源文件。
3.在任务治理去器中看到有一个进程注入到svchost.exe系统进程中,是wow.ico。从字面上可以了解到,
会与大型网络游戏《魔兽世界》进行相关病毒操作的进程。
4.通过注入到系统网络进程,从而进行病毒下载操作,在任务治理器中可以观察到有许多病毒进程在跳跃。
5.使用隐蔽软件扫描,可以发现已经有众多盗号木马已被下载,他们分别是:
cmdbcs盗号木马
异常的Autorun.inf
可疑的Run启动项B
SysWin(Troj)
RAVXXMON(Troj)
SysWin
visinQQ盗号者
6.在启动项中,可以发现被病毒添加了病毒启动项。分别是:
启动项名:WinSys对应路径:%windows%\IG.EXE
启动项名:ravztmon对应路径:%ProgramFiles%\NetMeeting\ravztmon.exe
启动项名:cmdbcs对应路径:%windows%\cmdbcs.exe
7.打开各盘符,可以发现有两个隐藏属性的auto病毒,分别是:AutoRun.inf和inituser.exe.当用户在
双击鼠标左键打开时,病毒即会触发。
