病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
18474
影响系统:
WinNTWin2000WinXP
病毒行为:
这是一个可通过移动硬盘传播的病毒,通过修改系统年份使卡巴斯基杀毒软件失效,查找窗口关闭金山毒霸.
会从指定的网址上下载大量恶意软件在用户计算机上.一切病毒相关的服务名和文件名都是随机的.
释放以下病毒文件:
%systemroot%\system32\83816DBD.EXE(文件名随机)
%systemroot%\system32\D7A48A2F.DLL(文件名随机)
在每个盘的根目录下生成病毒文件auto.exe和病毒辅助文件autorun.inf,达到通过双击盘符就自动运行病毒文件auto.exe的目的.
病毒是根据已内定的某些字符与获取用户电脑上的C盘的卷序列号进行计算,得出随机文件名.
枚举计算机进程,如发现avp.exe(卡巴斯基),则修改系统年份为2005使其失去作用.
通过查找窗口的方法,如发现窗口标题为"金山毒霸"的则发送消息关闭.
病毒在联网状态下会读取某网址下的update.txt获取其它恶意软件的下载地址,获取完下载保存在用户计算机上并运行.
创建注册启动项:(注重:服务名也是随机)
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE-k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253ImagePath"%systemroot%\system32\83816DBD.EXE-k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253DisplayName"265E9253"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\265E9253Description"D7A48A2F"