病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
204800
影响系统:
WinNTWin2000WinXP
病毒行为:
判定病毒文件"svchost.dll"是否注入到包含要害字"winlogon.exe"的进程。
创建线程判定客户计算机上的系统时间是否2005年或之前,假如不是则设置系统时间为2005年。
病毒文件"svchost.dll"注入进程explorer.exe。
创建线程删除安全软件的注册表和服务。
读取指定的网址获取木马程序的下载地址,获取成功后下载木马程序保存在客户计算机上并运行。
生成的文件:
%SystemRoot%\system32\svchost.dll
%SystemRoot%\system32\dllcache\svchost.exe(正常系统上也有此文件,但中此病毒的系统,此文件被病毒文件覆盖)
添加的注册表:
Key:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"
Key:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
Key:HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"
总结:病毒会覆盖正常系统下指定文件夹下的文件,通过创建注册表服务以达到开机自启动的作用。病毒会删除客户计算机上指定安全软件的服务和注册表,以达到开机时不让安全软件自启动,并从网络上下载木马程序保存到客户计算机上运行。
