病毒名称(中文):
伪装下载器106496
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
106496
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马。它假如发现系统上有杀毒软件“卡巴斯基”的进程,就会修改系统时间为2000年,使卡巴失效。它会不断重写自己在注册表中的数据、结束大量安全软件进程,以保证自己随时处于最佳的“作案状态”。然后在后台连接指定的地址,下载大量的恶意程序。
病毒运行后释放以下病毒文件:
%systemroot%\sysmte32\winscksow.dll
枚举进程查找avp.exe进程,如系统上存在此进程则修改系统时间的年份为2000年.
释放病毒文件%systemroot%\sysmte32\winscksow.dll并把该文件设置属性为"隐藏"和"系统".
枚举系统查找explorer.exe进程,把病毒文件%systemroot%\sysmte32\winscksow.dll注入到其进程.
创建线程不断重写病毒的注册表启动项相关的键值.
枚举系统进程结束以下进程名:
avp.exe(通过修改系统时间为2000年)
360tray.exe
KVwsc.exe
KVMonXP.exe
Kvsrvxp.exe
kwatch.exe
kavstart.exe
KPfw32.exe
kavpfw.exe
runiep.exe
ravmon.exe
Ravmond.exe
ravtask.exe
ccenter.exe
rfwmain.exe
rfwmain.exe
rfwsrv.exe
rfwcfg.exe
PFW.exe
KVMonXP.kxp
Navapsvc.exe
Mcshield.exe
shstat.exe
Vstskmgr.exe
ccapp.exe
vptray.exe
rtvscan.exe
kvfwmcl.exe
AvastU3.exe
avconsol.exe
AvMonitor.exe
FYFireWall.exe
病毒下载后的文件保存至%systemroot%目录分别为:
0winecest.exe
1winecest.exe
2winecest.exe
3winecest.exe
4winecest.exe
5winecest.exe
病毒创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_CLASSES_ROOT\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}@""
HKEY_CLASSES_ROOT\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32@"%systemroot%\sysmte32\winscksow.dll"
HKEY_CLASSES_ROOT\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32ThreadingModel"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}@""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32@"%systemroot%\sysmte32\winscksow.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EEF7056-B89D-9DE8-A060-D585EA746799}\InProcServer32ThreadingModel"Apartment"
病毒添加注册表值达到自启动:
Key:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
Value:"{9EEF7056-B89D-9DE8-A060-D585EA746799}"
Data:""
从以下地址下载恶意程序保存至系统上并执行:
http://m**p.lo**m*ll.cn/vm/vv0.exe
http://m**p.lo**m*ll.cn/vm/vv1.exe
http://m**p.lo**m*ll.cn/vm/vv2.exe
http://m**p.lo**m*ll.cn/vm/vv3.exe
http://m**p.lo**m*ll.cn/vm/vv4.exe
http://m**p.lo**m*ll.cn/vm/vv5.exe