病毒名称(中文):
下载者VBS13056
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
网页病毒
病毒长度:
13056
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
它是一个下载者脚本病毒,会修改系统时间,使部分安全软件失效,然后从指定的网址下载并执行盗号木马程序,盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》等大型网络游戏。它还具有自动更新的功能。
病毒会判定自身运行时的路径是否在system32文件夹下.假如病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.
假如病毒运行时路径不在system32文件夹下,则检测当前系统进程中wscript.exe进程的数量.
病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件
病毒把自身复制至以下路径:
%windir%\`.vbe
%windir%\system32\`.vbe
病毒对注册表的操作:
创建启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
Value:"explorer"
Data:"`.vbe"
修改注册表:
Key:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedValue:"ShowSuperHidden"
BeforeData:"1"--没被修改前的值
AfterData:"0"--修改后的值
读取%windir%\system32\wbem\下的`.vbe文件与指定的版本号比较和读取配置文件里的某行数据与1进行比较,
假如不相同,则重写%windir%\system32\wbem\`.vbe文件.(该文件并非病毒复本,但内容与病毒复本差不多)
遍历网络硬盘和可移动硬盘(除a:\和b:\),删除盘根目录下的autorun.inf文件夹,复制病毒配置文件至盘根目录下autorun.inf,
病毒复本至盘根目录下`.vbs.假如盘根目录下存在`.vbs和autorun.inf,则会读取数据进行判定是否属该病毒的文件,不同则重写.
病毒会判定系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.