病毒名称(中文):
AUTO下载者141824
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
141824
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个可以通过U盘传播的木马病毒。病毒运行后会在硬盘每个分区下生成U盘病毒,然后通过修改注册表以更改用户浏览器默认
首页,病毒会加载一个用任务治理器无法查看的隐藏进程msn.exe,每隔一段时间检查硬盘分区的autorun.inf和msn.exe是否存在,不
存在则还原,并在后台尝试连接远程服务器下载病毒文件安装至本地计算机。
1.在硬盘每个分区下生成文件
{盘符}\autorun.inf
{盘符}\msn.exe
2.生成注册表项
HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\adtuosa\flagmsnexe3"yes"
HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\microsoft\msncomitime"{木马运行时间}"
3.修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainStartPage"about:blank""http://www.baidu.com/index.php?tn=dsgj_cb"
4.病毒会修改浏览器首页为以下网址
http://www.baidu.com/index.php?tn=dsgj_cb
5.病毒文件使用文件夹图标,用户有可能会把它当成目录造成误点击
6.加载一个用任务治理器无法查看的隐藏进程msn.exe,每隔一段时间检查硬盘分区的autorun.inf和msn.exe是否存在,不存在则还原,所以
清除前必须先用IceSword之类的工具结束掉此隐藏进程才行
7.尝试连接远程服务器下载病毒文件安装至本地计算机
http://n**ad.tu**a.com/**x/x****a.exe
8.尝试连接远程计数网站统计受害的数量