病毒名称(中文):
伪装下载者65536
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
65536
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载者程序。该病毒运行后,注册为浏览器帮助插件。它会在后台利用IE浏览器的进程空间来运行病毒代码,然后连接远程病毒站点,下载其它病毒程序到用户电脑中运行。
1.病毒运行后,产生以下病毒文件
%WINDOWS%\system32\wmicsmgr.dll
病毒文件的文件名与系统文件名很相似,正常的文件名为wmiscmgr.dll,而不是wmicsmgr.dll。
2.修改注册表,添加到Run启动项,以便随系统启动。添加的启动项名称为wmicsmgr。
3.注册为浏览器帮助插件,当资源治理器或ie启动时会自动加载运行病毒文件。
4.在后台启动一个无界面的ie进程,在此ie进程内运行病毒代码。
5.在后台从远程下载病毒程序在本地运行。