| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.DownLoader.dy

2008-08-14 23:01:48  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  木馬下載器35840

  病毒別名:

  

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  木馬下載器

  病毒長度:

  35840

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是一個下載者木馬。通過修改時間的方法使卡吧失效,15s後恢複正常時間。同時將自身複制到system32目錄下,注冊爲系統服務,並且僞裝成卡巴斯基7.0的服務程序。程序運行後會後台下載大量的木馬病毒文件並運行。會將自身複制到其他盤符的根目錄下並創建autorun.inf。

  1.修改

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun

  項的鍵值爲0x0,開啓所有驅動器的自動播放。

  而後將自身複制到各個盤符的根目錄下,並創建anturun.inf文件。

  2.搜索如下文件

  %systemRoot%\system32\drivers/klif.sys(爲卡巴斯基的驅動)

  假如找到則修改系統時間爲1981-01-12,導致卡巴斯基失效。15s之後再將系統時間改爲正常時間。

  3.把自身複制到%systemRoot%\system32\sky.exe.改屬性爲系統隱藏文件

  並試圖刪除卡巴斯基的服務。

  4.將sky.exe添加爲系統服務並僞裝成卡巴斯基的服務程序。

  添加的服務的注冊表項爲:

  [HEKY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kaspersky7.0]

  "DesplayName"@="監視系統安全設置和配置"

  "Description"@="PreformanceLogsandAle"

  "ErrorControl"@=0x0

  "ImagePath"@="%systemRoot%\system32\sky.exe"

  "ObjectName"@="LocalSystem"

  "Stare"@=0x02

  "Type"@=0x110

  5.從命令行運行%systemRoot%\system32\sky.exe

  6.創建一個批處理文件%systemRoot%\system32\Deledomn.bat,運行刪除原木馬文件。

  sky.exe行爲:

  運行後會先從http://www.***.com/txt/***.txt下載一個文本文件,其中包含了需要下載的病毒列表。

  然後按照病毒列表將其中的文件一一下載並運行。
 
病毒名稱(中文): 木馬下載器35840 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 35840 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個下載者木馬。通過修改時間的方法使卡吧失效,15s後恢複正常時間。同時將自身複制到system32目錄下,注冊爲系統服務,並且僞裝成卡巴斯基7.0的服務程序。程序運行後會後台下載大量的木馬病毒文件並運行。會將自身複制到其他盤符的根目錄下並創建autorun.inf。 1.修改 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun 項的鍵值爲0x0,開啓所有驅動器的自動播放。 而後將自身複制到各個盤符的根目錄下,並創建anturun.inf文件。 2.搜索如下文件 %systemRoot%\system32\drivers/klif.sys(爲卡巴斯基的驅動) 假如找到則修改系統時間爲1981-01-12,導致卡巴斯基失效。15s之後再將系統時間改爲正常時間。 3.把自身複制到%systemRoot%\system32\sky.exe.改屬性爲系統隱藏文件 並試圖刪除卡巴斯基的服務。 4.將sky.exe添加爲系統服務並僞裝成卡巴斯基的服務程序。 添加的服務的注冊表項爲: [HEKY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kaspersky7.0] "DesplayName" @="監視系統安全設置和配置" "Description" @="PreformanceLogsandAle" "ErrorControl" @=0x0 "ImagePath" @="%systemRoot%\system32\sky.exe" "ObjectName" @="LocalSystem" "Stare" @=0x02 "Type" @=0x110 5.從命令行運行%systemRoot%\system32\sky.exe 6.創建一個批處理文件%systemRoot%\system32\Deledomn.bat,運行刪除原木馬文件。 sky.exe行爲: 運行後會先從http://www.***.com/txt/***.txt下載一個文本文件,其中包含了需要下載的病毒列表。 然後按照病毒列表將其中的文件一一下載並運行。
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有