Win32.Troj.Autorun.xs.69693

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

69693

影响系统:

WinNTWin2000WinXP

病毒行为:

这是一个通过U盘进来传播的病毒。病毒会在客户计算机上的每个盘下生成病毒文件auto.exe和病毒辅助文件autorun.inf,只要客户通过双击方式进入盘,就会运行autorun.inf指向的病毒文件。病毒会从网上下载大量的木马程序保存在客户计算机上并运行。

病毒在客户计算机上运行后,会把自身复制至

%windir%\system32\A71F0BB8.EXE(病毒名字随机)

并生成病毒dll文件

%windir%\system32\A6B96C60.DLL(病毒名字随机)

然后通过创建批处理删除病毒自身。

病毒会在客户计算机上的每个盘下生成文件auto.exe(%windir%\system32\A71F0BB8.EXE的复制)与autorun.inf文件,autorun.inf文件指向auto.exe,只要客户通过双击方式进入盘,就会运行此病毒文件。

病毒DLL文件会注入多个进程。

枚举客户计算机上的进程,如发现avp.exe则通过设置客户计算机上的系统时间为2005年使"卡巴斯基"过期无法使用。

病毒会读取指定的网址上的txt文件以获取木马下载地址,并下载木马程序保存至客户计算机上运行。

病毒创建注册表服务以达到病毒自身开机自启动

Key:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\F87FA530(服务名字随机)

Description:"A6B96C60"

ImagePage:"%windir%\system32\A71F0BB8.EXE-k"

Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F87FA530

Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\F87FA530

Description:"A6B96C60"

ImagePage:"%windir%\system32\A71F0BB8.EXE-k"

病毒修改注册表禁用客户计算机上的"显示所有隐藏文件"和"系统自动更新"两个功能。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航