病毒名称(中文):
海量下载者20992
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
20992
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
“海量下载者20992”(Worm.Troj.Wogue.ax.20992),这是一个下载者病毒。该病毒运行后,会下载海量其它病毒到系统盘和重要的系统文件夹当中,这些病毒主要功能是进行盗号行动。中了该毒的表现是运行文件时没有反应,如发现这种情况,用户应立即断网,进入安全模式全面扫描病毒。
1.当该病毒成功运行后,会生成海量的病毒文件,例如有
%WINDOWS%\KVSC2.EXE
%WINDOWS%\MsIMMS32.EXE
%WINDOWS%\upxdnd.exe
%WINDOWS%\avwlhin.dll
%WINDOWS%\Fonts\jsqxass.dll
%temp%\LYLOADER.EXE
%temp%\lymangr.dll
%temp%\msdeg32.dll
%windows%\system32\kvsc3.dll
......
以上的病毒文件只是生成的很少量的一部分,还有更多的病毒文件生成,在此缩略了,但可以看出基本所有的EXE文件大都在WINDOWS文件夹下,DLL文件大多在SYSTEM32文件夹下。
2.病毒运行后,立即创建启动项,当用户在下次启动系统时,病毒随机启动
启动项名:upxdnd对应路径:%windows%\upxdnd.exe
启动项名:MsIMMs32对应路径:%windows%\MsIMMs32.exe
启动项名:AVPSrv对应路径:%windows%\AVPSrv.exe
启动项名:MsPrint32D对应路径:%windows%\MsPrint32D.exe
......
3.系统时间会被修改为"2001"年,使依靠系统时间的杀软失效,给用户的系统安全带来危害。
4.病毒会自动创建MSN向导,其向导是无效的,具有欺骗性质,怀疑是盗号的一种手段。
5.使用毒霸的隐蔽软件扫描,瞬间可扫描出数十种盗号木马,该些木马有盗"大话西游"、"QQ"、"传奇"等游戏的帐号信息。
6.在病毒发作的期间,会一直不停的下载病毒,慢慢破坏用户的系统,但是症状都不太明显,几乎是到了末期才被发现,或者当用户的帐号信息被盗时。
