病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
18483
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序,复制自身到系统目录,在各个磁盘分区根目录创建Autorun.inf和病毒文件,通过U盘传播,
并通过添加系统服务添加到启动项,同时监控带有“金山毒霸”字符串的对话框并关闭,注入到winlogon.exe和explorer.exe进程中,创建独立线程执行木马的代码。
1.复制文件:
%sys32dir%\4015D32C.DLL
%sys32dir%\4015D32C.EXE
%sys32dir%\del.bat
文件del.bat是用来删除执行的病毒文件的批处理。
另外,还在每个磁盘分区根目录下面创建以下两个文件:
autorun.inf
autorun.exe
其中Autorun.inf文件的内容指向autorun.exe,双击打开磁盘分区则会执行mcqdvnc.exe。
2.添加到到注册表:
添加到系统服务,随系统启动:
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\5445773B]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5445773B]
[HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\5445773B]
以上注册表项键值均指向%sys32dir%\4015D32C.EXE。
添加以下注册表键值,禁止使用“LASTKNOWGOOD”(最后一次成功引导):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT]
ReportBootOk=dword:00000001
修改以下键值,破坏文件夹选项,隐藏自身:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue=dword:00000001->dword:00000000
3.破坏方式
通过添加到系统服务随系统启动,在启动后注入winlogon.exe进程中,创建单独的线程,同时创建线程监控“金山毒霸”的对话框,
发现有对话框则关闭。木马复制到各个磁盘的根目录并创建autorun.inf,可以通过U盘传播。木马还会从网络读取配置文件,可能
进行自我更新或者下载其他木马文件。
4.相关网址:
http://al**a.v****x.cn/update.txt
可能是该木马的自动更新配置文件。