病毒名称(中文):
李鬼卡巴42492
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
42492
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马。它通过修改时间的方法使杀毒软件卡巴斯基失效,同时把自己伪装成卡巴斯基7.0的服务程序,在后台静静下载大量的木马病毒文件并运行。此病毒还会在所有磁盘分区的根目录下创建AUTO病毒,以便传播自己。
该下载者木马的具体行为:
1.修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
项的键值为0x0,开启所有驱动器的自动播放。
而后将自身复制到各个盘符的根目录下,并创建anturun.inf文件。
2.搜索如下文件
%systemRoot%\system32\drivers/klif.sys(为卡巴斯基的驱动)
假如找到则修改系统时间为1981-01-12,导致卡巴斯基失效。15s之后再将系统时间改为正常时间。
3.把自身复制到%systemRoot%\system32\sky.exe.改属性为系统隐藏文件
并试图删除卡巴斯基的服务。
4.将sky.exe添加为系统服务并伪装成卡巴斯基的服务程序。
添加的服务的注册表项为:
[HEKY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kaspersky7.0]
"DesplayName"@="监视系统安全设置和配置"
"Description"@="PreformanceLogsandAle"
"ErrorControl"@=0x0
"ImagePath"@="%systemRoot%\system32\sky.exe"
"ObjectName"@="LocalSystem"
"Stare"@=0x02
"Type"@=0x110
5.从命令行运行%systemRoot%\system32\sky.exe
6.创建一个批处理文件%systemRoot%\system32\Deledomn.bat,运行删除原木马文件。
sky.exe行为:
运行后会先从http://www.***.com/txt/***.txt下载一个文本文件,其中包含了需要下载的病毒列表。
然后按照病毒列表将其中的文件一一下载并运行。