病毒名称(中文):
杀软克星下载器835072
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
835072
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。它运行后会映像劫持大部分的安全软件,造成用户电脑失去保护。同时病毒注入系统文件,利用其空间运行自己,从网上下载更多其它病毒到中毒电脑上运行。
1.病毒运行后,生成以下文件
(原木马名).exe
%systemroot%\system32\api32.exe
%systemroot%\system32\Autorun.inf
%systemroot%\system32\svchost.dll
%systemroot%\system32\urls.dll(该文件是正常文件urlmon.dll的拷贝)
2.修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions键,映像劫持下面安全软件,一旦运行它们会直接运行c:\api32.exe(但该文件不存在,便导致无法找到该文件的提示)
360Safe.com
360Safe.exe
360tray.exe
adam.exe
AntiArp.exe
AppSvc32.exe
autoruns.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
HijackThis.exe
IceSword.com
IceSword.exe
iparmo.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVStart.exe
KISLnchr.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KsLoader.exe
KvDetect.exe
KvfwMcl.exe
KVScan.kxp
kvwsc.exe
KWatch.exe
MagicSet.exe
mmqczj.exe
mmsk.exe
msconfig.exe
nod32.exe
nod32krn.exe
nod32kui.exe
QHSET.exe
Ras.exe
rav.exe
RavMon.exe
RavMonD.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
rfwProxy.exe
rfwsrv.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
WoptiClean.exe
zxsweep.exe
3.新生成的api32.exe文件会释放出svchost.dll文件,并将该文件注入到winlogon.exe进程,实现隐蔽的下载.
4.svchost.dll会从http://www.b*a*k*8.net/ok1.txt下载木马地址列表文件,该文件会被保存到%systemroot%exe.sys文件,该文件包含木马地址信息,木马会根据该文件内容去下载木马程序到本地%systemroot%目录
