| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Autorun.hx.81920

2008-08-14 23:01:47  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名称(中文):

  下载器81920

  病毒别名:

  

  

  威胁级别:

  ★☆☆☆☆

  病毒类型:

  木马下载器

  病毒长度:

  81920

  影响系统:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行为:

  这是一个下载者病毒,通过修改系统时间使"卡巴斯基"失效.通过查找窗口的方式并模拟发送消息的方式通过某些软件的警告提示.创建注册表服务项达到开机自动运行.从后台下载大量木马程序保存至系统上并运行.

  病毒运行后释放以下文件:

  %sys32dir%\serdst.exe

  运行后通过创建批处理删除自身.

  创建线程查找窗口"IE执行保护"、"IE执行保护",如发现则模拟发送一个点击消息(窗口上的"答应执行").

  查找窗口"瑞星卡卡上网安全助手-IE防漏墙",如发现则模拟发送一个点击消息(窗口上的"答应").

  从后台下载大量的木马程序保存在系统上并运行.

  在系统上的每个磁盘分区下生成Autorun.inf,Autorun.inf指向该同磁盘分区中的病毒文件.(指向的病毒文件可查看Autorun.inf里的内容)

  查找系统上是否存在sys32dir\drivers\klif.sys文件(该文件为卡巴斯基的驱动文件),有则把系统时间设置为"1981-01-12"使其失效.

  病毒通过创建注册表服务项启动:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnTypedword:00000110

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnStartdword:00000002

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnErrorControldword:00000000

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnImagePath"%sys32dir%\serdst.exe"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnDisplayName"Telephotsgoogle"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnObjectName"LocalSystem"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdswsdewnDescription"为即插即用设备提供支持"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWNNextInstancedword:00000001

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000Service"Wdswsdewn"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000Legacydword:00000001

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000ConfigFlagsdword:00000000

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000Class"LegacyDriver"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000DeviceDesc"Telephotsgoogle"
 
 
 
病毒名称(中文): 下载器81920 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 81920 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个下载者病毒,通过修改系统时间使"卡巴斯基"失效.通过查找窗口的方式并模拟发送消息的方式通过某些软件的警告提示.创建注册表服务项达到开机自动运行.从后台下载大量木马程序保存至系统上并运行. 病毒运行后释放以下文件: %sys32dir%\serdst.exe 运行后通过创建批处理删除自身. 创建线程查找窗口"IE执行保护"、"IE执行保护",如发现则模拟发送一个点击消息(窗口上的"答应执行"). 查找窗口"瑞星卡卡上网安全助手-IE防漏墙",如发现则模拟发送一个点击消息(窗口上的"答应"). 从后台下载大量的木马程序保存在系统上并运行. 在系统上的每个磁盘分区下生成Autorun.inf,Autorun.inf指向该同磁盘分区中的病毒文件.(指向的病毒文件可查看Autorun.inf里的内容) 查找系统上是否存在sys32dir\drivers\klif.sys文件(该文件为卡巴斯基的驱动文件),有则把系统时间设置为"1981-01-12"使其失效. 病毒通过创建注册表服务项启动: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Type dword:00000110 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Start dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ErrorControl dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ImagePath "%sys32dir%\serdst.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn DisplayName "Telephotsgoogle" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ObjectName "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Description "为即插即用设备提供支持" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN NextInstance dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Service "Wdswsdewn" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 ConfigFlags dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 DeviceDesc "Telephotsgoogle"
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号 wangchaonetcn
 
  免责声明:本文仅代表作者个人观点,与王朝网络无关。王朝网络登载此文出于传递更多信息之目的,并不意味著赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝網路 版權所有