病毒名称(中文):
小跟班下载器20480
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
20480
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载者。它实质上是由其它木马释放出的动态链接库,运行后会注入到IE浏览器的进程,从网上批量下载木马程序到本地系统目录。
1.该木马程序是一个动态链接库,由其父进程释放,释放路径为
%systemroot%\system32\HDDGuard.dll
2.该动态链接库木马程序被其父进程释放到系统目录后然后加载注入到ie进程
3.木马被加载后,便会从命名ieprot.dll,safemon.dll,antispy.dll,KvTrust.dll,UrlGuard.dll文件名为tmp*.temp(*为数字)
4.从http://x*x.kv8.i**o/images/xin.txt下载木马程序列表,该木马程序列表由多个字段组成,假如存在2008-1-25字段,那么便会根据下载表的内容下载木马程序到
%systemroot%\system32\*.exe(*为数字)并运行.假如不存在2008-1-25区段,便会查找NEWVERSION字段,该字段值指向木马下载地址http://4*4.sqm**opt.com/xm/,该木马程序会更重新更新木马列表,并从网上再次下载木马程序.
