病毒名称(中文):
隐身虫下载器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
81920
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序变种。病毒运行后复制自身至系统文件夹,并通过修改注册表注册为系统服务,以开机自启动。病毒会加载一个无法通过任务治理器查看的隐藏的进程gdisvc.exe,但可以通过icesword查看,然后在后台尝试连接远程服务器下载大量木马安装至本地计算机,病毒还尝试收集用户网卡信息和中毒者数量。另外,该病毒利用了迅雷看看(ThunderKanKan)漏洞,会被利用来下载病毒,请广大用户小心。
1.复制自身
%commonfiles%\System\gdiserver.exe
%sys32dir%\gdisvc.exe
然后使用批处理删除自身
2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\gdisvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GdiServer
修改注册表项
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32@"C:\WINNT\System32\wshom.ocx""C:\WINNT\system32\WSHom.Ocx"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}\InProcServer32@"C:\WINNT\System32\wshom.ocx""C:\WINNT\system32\WSHom.Ocx"
3.生成系统服务
服务名:"GdiServer"
服务描述:"ProviderSupportforWindowsGraphicsDevice"
映像路径:"%commonfiles%\System\gdiserver.exe"
4.病毒会加载无法通过任务治理器查看的隐藏的进程,但可以通过icesword查看
5.尝试连接远程服务器下载大量木马安装至本地计算机
http://o1.o**y.com/miss/logo.gif
http://o1.o**y.com/miss/logo1.gif
http://o1.o**y.com/miss/logo2.gif
http://o1.o**y.com/miss/logo3.gif
http://www.z**.com.cn/r**.asp?id=0024000C2921944037
http://u*****1.searchnine.cn/Toolbar/schunin.exe
http://u*****1.searchnine.cn/Toolbar/windates.exe
http://u*****1.searchnine.cn/Toolbar/iexplore.exe
http://u*****1.searchnine.cn/Toolbar/scNine.dll
http://u*****1.searchnine.cn/Toolbar/Boos.dll
http://u*****1.searchnine.cn/Toolbar/version.txt
http://d**n.1024tb.com/do*****d/mu/2.3.0/b6b9fc33630db89f076ce23fb977585...
http://o1.o**y.com/m**s/logo.gif
http://o1.o**y.com/*o/top.exe
http://o1.o**y.com/k*o/xunlei.js......
6.尝试收集用户网卡信息和统计中毒者数量
http://www.h****p.com/index.htm
http://p*o.p***ria.com/P**/rialtom_cnt.php?mac=00-0c-29-21-94-40&pid=pa0...
7.该病毒利用了迅雷看看(ThunderKanKan)上漏洞
pplayer.dll组件版本号:1.2.3.49,CLSID:F3E70CEA-956E-49CC-B444-73AFE593AD7F.