病毒名称(中文):
木马下载器181248
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
181248
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。病毒作者运用了大量加密解密技术来逃避安全软件的监控,然后将病毒注入其它进程空间运行,从网络上下载大量的恶意程序。
1、释放文件
释放文件%temp%\~1e2ab1a9506114473.tmp,这个文件名是根据用户系统的计算机名计算出来的
病毒根据用户系统的计算机名算出一个数字,假设其值为X。用~字符加上X的16进制加上X的10进制就形成了这个文件名
病毒在该文件里保存自己的EXE的路径
病毒将自己的配置信息保存在c:\windows\system32\kerberos.cpl中,这个文件名也是随机的。
病毒在system32目下随机挑选一个DLL的名字作为这个cpl文件的名字,但假如该文件已经存在的话,病毒就会用现成的了
该文件里保存了:病毒要用的CLSID值,病毒要生成的DLL的文件命等信息。
C:\WINDOWS\system32\eventvwr.dll在注册表中将该文件注册,该文件名是随机的
C:\WINDOWS\system32\mscorews.dll并不是DLL文件,病毒用次文件来存放一些日志
C:\WINDOWS\system32\shdocvs.dll并不是DLL文件,病毒用次文件来存放一些日志
C:\WINDOWS\system32\tlntadmn.dll并不是DLL文件,病毒用次文件来存放一些日志
2、修改注册表
添加为BHO,随浏览的启动,病毒就会被运行,这个CLSID是随机的,每次运行都会不同
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}@"eventvwr"
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32@"C:\WINDOWS\system32\eventvwr.dll"被注册的DLL
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32ThreadingModel"Apartment"
3、利用挂钩将DLL注入到系统内的其他进程空间,下载盗号木马和其他病毒
下载的病毒被以根据系统时间算出来的随机名称,放在%TEMP%目录下。
其他