病毒名称(中文):
伪装下载者3584
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
3584
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马程序。它运行后,会注册为浏览器帮助对象,侵入explorer.exe、spoolsv.exe等程序中,利用它们的空间运行自己,然后远程下载病毒文件到本机运行。
1.病毒运行后,产生以下病毒文件
%system32%\gebca.exe
%system32%\gebca.dll
%system32%\acbeg.ini
%system32%\acbeg.ini2
病毒生成的文件的实际文件名为五个字符组成的随机串。
2.修改注册表,添加了系统自启动项,随windows系统启动。
3.注册为浏览器帮助对象,当启动资源治理器或ie时,会自动加载病毒文件。
4.侵入explorer.exe,spoolsv.exe等程序中,创建一个rundll32.exe进程运行gebca.dll病毒文件。病毒定时检查rundll32.exe进程是否在运行中,
若未运行,病毒重新创建一个rundll32.exe进程运行gebca.dll。
5.远程下载病毒文件在本机运行。