病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
25088
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个会通过U盘传播的木马程序。病毒运行后会将自身复制至每个分区根目录和系统文件夹,并释放autorun.inf,以传播自身。病毒修改注册表以达到自启动。病毒通过常驻进程监控系统进程和任务窗口,关闭常见杀毒软件、杀毒网页、一些安全软件及任务治理器等,还会尝试使用批处理命令关闭系统Intemet连接共享和防火墙服务。
另外,病毒还尝试连接远程服务器下载病毒文件安装至用户计算机。
1.复制自身至
{盘符}:\sbl.exe(意思是"杀不了"吗?)
%sys32dir%\dream.exe
%sys32dir%\1.inf
%sys32dir%\plmmsbl.dll(此为系统UrlMon.dll备份)
在每个分区下生成
{盘符}:\autorun.inf
2.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\runmelove"%sys32dir%\dream.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\rundream"%sys32dir%\dream.exe"
3.关闭带以下要害字的杀毒软件、杀毒网页、一些安全软件及任务治理器等
360tray.exe
360safe.exe
avp.exe
防火墙
任务治理器
木马清道夫
木马克星
超级巡警
主线程
NOD32
NOD32核心
微点
安全卫士
木马杀客
NOD32内核
杀毒
江民
金山
4.尝试连接远程服务器下载病毒文件安装至用户计算机
hxxp://www.afdafdadfaf.com/ts.jif
hxxp://www.fafadfafdadf.com/ts.jpg
hxxp://www.afddfqerfasdfasf.com/ts.rar
5.尝试使用批处理命令关闭系统Intemet连接共享和防火墙服务
cmd.exe/cnetstopsharedaccess
6.部分病毒信息
"heiheiilovesbl"
"AnHao_VIP_CAHW"
