病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
25088
影响系统:
WinNTWin2000WinXP
病毒行为:
下载者病毒,该病毒会通过U盘传播,在客户计算机上的每个盘下生成病毒文件sbl.exe和auoturun.inf.只要客户通过鼠标双击盘符,病毒就能运行起来.病毒会创建系统服务以达到开机自启动.会从网络上下载大量的木马程序保存至客户计算机上运行.病毒会创建线程关闭杀毒软件"卡巴斯基"的警告窗口,关闭某些安全软件的进程并通过枚举窗口关闭大量安全软件的窗口.
病毒运行后会把自身复制至
%windir%\system32\chostbl.exe
并生成病毒文件
%windir%\system32\lovesbl.dll
病毒会创建系统服务达到开机自启动
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AnHao_VIP_CAHW
DisplayName:"AGooDDownLoadCAHW"
ImagePath:"%windir%\system32\chostbl.exe"
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANHAO_VIP_CAHW
病毒会枚举窗口获取窗口的标题文字,如发现包含以下关健字的窗口则关闭窗口:
防火墙
卡卡
江民
金山
任务治理器
木马清道夫
木马克星
超级巡警
NOD32核心
安全
NOD32内核
微点
病毒会结束客户计算器机上的以下进程:
360tray.exe
360safe.exe
runiep.exe
病毒文件%windir%\system32\chostbl.exe会注入services.exe进程.