病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
252928
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个感染型病毒,感染非系统盘下以exe结尾的文件并产生一个_desktop.ini文件,关闭常见的安全软件,通过网络下载其他木马程序,生成注册表自启动,在每个盘根目录下产生autorun.inf病毒文件
1.复制自身到
%systemroot%\ati3evx.exe
2.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Runlogo1_.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runlogo1_.exe
3.生成autorun文件
在每个盘符下生成autorun.inf和pif.exe并设成系统隐藏属性,autorun.inf内建立的shell名为“打开”,轻易在使用右键打开命令时误操作。
4.当监测到有以下进程则自动被病毒关闭
ravmon.exe,Ravtask.exe,Ravmon.exe,Mcshield.exe,VstskMgr.exe,naPrdMgr.exe,UpdaterUI.exe,TBMon.exe,RavmonD.exe,TrojDie.kxp,FrogAgent.exe,rundll32.exe,spoclsv.exe
5.通过网络下载其他木马等程序
病毒每隔一段时间连接网络进行更新,从http://mm.2***0.com/txt.txt下载配置文件进行其他木马病毒的下载。
6.病毒不感染某些特定的文件
如Cs.exe,cstrike.exe,FSOnline.exe等一些文件