病毒名称(中文):
下载者迎风号
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
28572
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载者。该病毒运行后,病毒源文件会自删除。而且会立即生成多个病毒文件并运行,通过现有的病毒进程从网络下载更多的盗号木马文件,包括盗取"QQ"和"梦幻西游"的木马。而且该病毒还会自动弹出广告窗口,占用系统资源,使用户的系统信息轻易泄露。
1.病毒运行后,生成以下病毒文件
%temp%\LYLOADER.EXE
%temp%\MSDEG32.DLL
%temp%\LYMANGR.DLL
%Programfiles%\internetexplorer\use070929.dll
2.病毒成功运行后,会通过自生成的deletebat.bat文件对病毒源文件进行删除,使用户无法找到病毒源文件。
3.病毒会通过存在%temp%文件夹下的病毒文件继续从网络上下载更多的盗号木马在%windows%目录下
4.在任务治理器中可以看到有许多病毒进程,分别:IGW.EXE、kawdbaz.exe、ratbftl.exe、rsztcsp.exe、nslookupi.exe
、avzxest.exe、swchost.exe
5.病毒文件use070929.dll嵌入到系统进程rundll32.exe中,并触发rundll32.exe运行起来,通过其达到从网络下载病毒
的功能。
6.病毒添加启动项(启动项是指随着系统的启动而自动运行起来的程序),其信息如下:
启动项名:DiskMan32对应路径:%WINDOWS%\DiskMan32.exe
启动项名:cmdbcs对应路径:%WINDOWS%\cmdbcs.exe
启动项名:WinSysW对应路径:%WINDOWS%\swchost.exe
启动项名:WinSys对应路径:%WINDOWS%\IGW.exe
启动项名:MSDEG32对应路径:%temp%\LYLoader.exe
7.当打开浏览器浏览网页时,会明显感觉到占用系统资源很高。
8.使用毒霸反间谍里的隐蔽软件扫描,可以发现有众多的盗号木马已被下载,分别有"梦幻西游"、"QQ"等。
9.病毒还会自动弹网页,对应网址是:h**p://www.cdpf.org.cn/home1.htm
h**p://bbs.8jee.com/bbs.jsp?id=60223
