病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
20544
影响系统:
Win9xWinNT
病毒行为:
这是一个下载者病毒。该病毒运行后,会下载大量的病毒木马到本机,病毒会检测是否
有卡巴斯基,若检测到就会修改系统时间来导致卡巴斯基运行失败。
1.病毒运行后,产生以下病毒文件
%windir%\system32\drivers\pcibus.sys
%windir%\system32\Com\comrepl32.exe
会在注册表的RUN项下添加一个自启动,启动参数为:%windir%\system32\com\comrepl32.exe
2.病毒会利用%windir%\system32SVCHOST.EXE来重新启动自己,
使用户在任务治理器里看到的进程是SVCHOST,而无法分辨中毒进程.
病毒运行结束后会,删除自己,然后启动%windir%\system32\Com\comrepl32.exe.
(comrepl32.exe与%windir%\system32\Com下的comrepl.exe相似,轻易被误认为是系统文件)
comrepl32.exe会检测是否有卡巴斯基,若检测到就会修改系统时间来导致卡巴斯基运行失败.
3.病毒最后启动pcibus.sys(pcibus.sys并不是驱动文件,而是一个可执行的PE文件,这个是病毒为了迷惑用户,让用户误认为它是正常驱动,达到隐蔽的目的..实际上它是个EXE文件)来下载病毒到本地,
pcibus.sys会从http://d**n.1**d.net/elf_listo.txt下载病毒列表到%windir%\system32\taimpo.txt.
然后pcibus.sys又会根据病毒文件列表来下载病毒.pcibus.sys将木马和病毒下载到c:\ProgramFiles下,
并按序号生成下列文件:
c:\ProgramFiles\conime0.exe
c:\ProgramFiles\conime1.exe
c:\ProgramFiles\conime2.exe
c:\ProgramFiles\conime3.exe
............................
c:\ProgramFiles\conime9.exe
c:\ProgramFiles\conimea.exe
c:\ProgramFiles\conimeb.exe
c:\ProgramFiles\conimec.exe
c:\ProgramFiles\conimed.exe
............................
c:\ProgramFiles\conimeu.exe