病毒名称(中文):
AUTO下载者65536
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
65536
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者病毒。它会在全部磁盘下都生成AUTO病毒,利用U盘等移动设备传播,并分别连接不同的两个网址,下载其它病毒文件到用户电脑中。
这是一个下载者病毒,通过在系统上的每个磁盘下生成病毒复本,以达到用户在双击该磁盘时运行Autorun.inf指向的病毒文件.
病毒创建注册表启动项,在开机时自启动病毒Exe文件.病毒分别连接不同的两个网址下载文件并保存至系统上.
http://www.20941.com.cn/BB/ip.txt下载后保存至%systemroot%\system32\sos.dll.
从http://688o.com/xz.css读取其它恶意程序的下载地址保存至系统上并执行.
病毒运行后在释放以下文件:
%systemroot%\system32\systom.exe
%systemroot%\system32\Autorun.inf
病毒运行后通过创建批处理(.bat文件)删除自身.
病毒在每个磁盘根目录下生成病毒文件:
Autorun.inf(%systemroot%\system32\Autorun.inf的复本)
sos.exe(%systemroot%\system32\systom.exe的复本)
Autorun.inf的内容指向sos.exe病毒文件,具体内容如下:
[AutoRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源治理器(&X)
shell\explore\Command=sos.exe
从http://www.2**41.com.cn/B*/ip.txt下载数据保存至%systemroot%\system32\sos.dll.
通过在系统后台读取指定的网址获取恶意程序的下载者,下载并保存至系统上执行.
病毒添加注册表启动项:
Key:"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
Value:"crsss"
Data:"%systemroot%\system32\systom.exe"
病毒内可疑的URL地址:
http://6**o.com/xz.css(该病毒有可能读取该网址的内容,获取其它恶意程序的下载地址.)