| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Autorun.56832

來源:互聯網  2008-08-14 23:01:02  評論

病毒名稱(中文):

殺軟封印下載器

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

56832

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個病毒下載器,它可通過U盤傳播。該病毒運行後會修改用戶的計算機配置和IE浏覽器的數據,從網絡上下載大量惡意軟件,並禁止用戶訪問任何與殺毒及系統安全有關的網頁。

一、病毒運行後會産生一個名爲TxHMoU的進程

1、該進程監控注冊表和文件,防止病毒的注冊表項和病毒文件被刪除或修改

2、該進程從網上下載大量的病毒

3、當用戶訪問一些帶「殺毒」,「瑞星」之內要害詞的網頁時,病毒會將IE關閉

4、由于監控文件和注冊表的修改,消耗了系統的大量資源,降低電腦運行速度

二、釋放文件

1、拷貝自身到C:\WINDOWS\system32\TxHMoU.Exe

2、在每個盤的根目錄釋放

AUToRUN.Inf

soS.Exe

比如在我機器上的情況如下所示

C:\AUToRUN.Inf

C:\soS.Exe

C:\WINDOWS\system32\AUToRUN.Inf

D:\AUToRUN.Inf

D:\soS.Exe

E:\AUToRUN.Inf

E:\soS.Exe

3、下載配置文件

IE.txt下載後命名爲FSEb.COM,記錄了IE主頁的URL,病毒會將IE主頁修改爲此URL

table.txt下載後命名爲FSEx.COM,記錄了一些網頁的要害詞,假如用戶所訪問的網頁包含有這些要害詞病毒會關閉IE

url.txt記錄了病毒要下載的病毒的URL

三、修改注冊表

1、添加注冊表啓動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

crsss"C:\WINDOWS\system32\TxHMoU.Exe"

2、禁用任務治理器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgrdword:00000001

3、禁止自動升級

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate

DisableWindowsUpdateAccessdword:00000001

4、禁止顯示隱藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValuedword:00000000

5、修改IE主頁

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

StartPage"http://m**n.9**k.com"

6、禁止用戶修改IE主頁

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

HomePagedword:00000001

7、當用戶訪問包含以下要害字的網頁時,IE會被關閉

360safe,木馬,木馬,病毒,殺毒,殺毒,查毒,防毒,反病毒,專殺,專殺,卡巴,江民,瑞星,卡卡社區,

金山毒霸,毒霸,金山,社區,360安全,惡意軟件,流氓軟件,舉報,報警,殺軟,殺軟,防駭,微點,卡巴斯基,

kaspersky,rising,瑞星,諾頓

病毒名稱(中文): 殺軟封印下載器 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 56832 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個病毒下載器,它可通過U盤傳播。該病毒運行後會修改用戶的計算機配置和IE浏覽器的數據,從網絡上下載大量惡意軟件,並禁止用戶訪問任何與殺毒及系統安全有關的網頁。 一、病毒運行後會産生一個名爲TxHMoU的進程 1、該進程監控注冊表和文件,防止病毒的注冊表項和病毒文件被刪除或修改 2、該進程從網上下載大量的病毒 3、當用戶訪問一些帶「殺毒」,「瑞星」之內要害詞的網頁時,病毒會將IE關閉 4、由于監控文件和注冊表的修改,消耗了系統的大量資源,降低電腦運行速度 二、釋放文件 1、拷貝自身到C:\WINDOWS\system32\TxHMoU.Exe 2、在每個盤的根目錄釋放 AUToRUN.Inf soS.Exe 比如在我機器上的情況如下所示 C:\AUToRUN.Inf C:\soS.Exe C:\WINDOWS\system32\AUToRUN.Inf D:\AUToRUN.Inf D:\soS.Exe E:\AUToRUN.Inf E:\soS.Exe 3、下載配置文件 IE.txt下載後命名爲FSEb.COM,記錄了IE主頁的URL,病毒會將IE主頁修改爲此URL table.txt下載後命名爲FSEx.COM,記錄了一些網頁的要害詞,假如用戶所訪問的網頁包含有這些要害詞病毒會關閉IE url.txt記錄了病毒要下載的病毒的URL 三、修改注冊表 1、添加注冊表啓動項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crsss"C:\WINDOWS\system32\TxHMoU.Exe" 2、禁用任務治理器 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgrdword:00000001 3、禁止自動升級 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate DisableWindowsUpdateAccessdword:00000001 4、禁止顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValuedword:00000000 5、修改IE主頁 HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main StartPage"http://m**n.9**k.com" 6、禁止用戶修改IE主頁 HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel HomePagedword:00000001 7、當用戶訪問包含以下要害字的網頁時,IE會被關閉 360safe,木馬,木馬,病毒,殺毒,殺毒,查毒,防毒,反病毒,專殺,專殺,卡巴,江民,瑞星,卡卡社區, 金山毒霸,毒霸,金山,社區,360安全,惡意軟件,流氓軟件,舉報,報警,殺軟,殺軟,防駭,微點,卡巴斯基, kaspersky,rising,瑞星,諾頓
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有