病毒名称(中文):
杀软封印下载器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
56832
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个病毒下载器,它可通过U盘传播。该病毒运行后会修改用户的计算机配置和IE浏览器的数据,从网络上下载大量恶意软件,并禁止用户访问任何与杀毒及系统安全有关的网页。
一、病毒运行后会产生一个名为TxHMoU的进程
1、该进程监控注册表和文件,防止病毒的注册表项和病毒文件被删除或修改
2、该进程从网上下载大量的病毒
3、当用户访问一些带“杀毒”,“瑞星”之内要害词的网页时,病毒会将IE关闭
4、由于监控文件和注册表的修改,消耗了系统的大量资源,降低电脑运行速度
二、释放文件
1、拷贝自身到C:\WINDOWS\system32\TxHMoU.Exe
2、在每个盘的根目录释放
AUToRUN.Inf
soS.Exe
比如在我机器上的情况如下所示
C:\AUToRUN.Inf
C:\soS.Exe
C:\WINDOWS\system32\AUToRUN.Inf
D:\AUToRUN.Inf
D:\soS.Exe
E:\AUToRUN.Inf
E:\soS.Exe
3、下载配置文件
IE.txt下载后命名为FSEb.COM,记录了IE主页的URL,病毒会将IE主页修改为此URL
table.txt下载后命名为FSEx.COM,记录了一些网页的要害词,假如用户所访问的网页包含有这些要害词病毒会关闭IE
url.txt记录了病毒要下载的病毒的URL
三、修改注册表
1、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
crsss"C:\WINDOWS\system32\TxHMoU.Exe"
2、禁用任务治理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgrdword:00000001
3、禁止自动升级
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate
DisableWindowsUpdateAccessdword:00000001
4、禁止显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValuedword:00000000
5、修改IE主页
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
StartPage"http://m**n.9**k.com"
6、禁止用户修改IE主页
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel
HomePagedword:00000001
7、当用户访问包含以下要害字的网页时,IE会被关闭
360safe,木马,木馬,病毒,杀毒,殺毒,查毒,防毒,反病毒,专杀,專殺,卡巴,江民,瑞星,卡卡社区,
金山毒霸,毒霸,金山,社区,360安全,恶意软件,流氓软件,举报,报警,杀软,殺軟,防駭,微点,卡巴斯基,
kaspersky,rising,瑞星,诺顿
