病毒名称(中文):
木马下载器69632
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
69632
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马。它在后台运行IE浏览器和记事本,并在其中创建线程,连接黑客网站下载其他木马病毒。它还会感染特定的文件,并且在每个盘符下创建Auto病毒文件,导致用户双击磁盘时就会运行木马文件。
将自身复制到如下位置
%systemRoot%\system32\sysload2.exe
添加注册表项,实现开机自启动
[HEKY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemBootCheck"="%systemRoot%\system32\sysload2.exe"
[HKEY_USERS\S-1-5-21-1229272821-1935655697-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemBootCheck"="%systemRoot%\system32\sysload2.exe"
后台运行IE和记事本,并在其中创建远程线程。
连接黑客网站下载病毒列表,根据列表中的文件下载病毒和木马到本机并运行
感染特定文件:
Setup.exe
QQ.EXE
PP.exe
Thunder.exe
patchupdate.exe
my.exe
Launcher.exe
play.exe
cabal.exe
realplay.exe
BitComet.exe
在每个盘符的根目录下创建AutoRun.inf文件和Tool.exe文件,AutoRun.inf指向Tool.exe,当用户双击磁盘的时候会运行该文件。