病毒名称(中文):
干扰者下载器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
184320
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。由于该病毒会注入很多DLL到系统进程中,所以会导致系统运行不稳定。病毒还会逃避杀毒软件的查杀。
病毒运行后会删除自身
1、释放文件
C:\WINDOWS\system32\65BE9A60.EXE这个是病毒文件自身的拷贝
C:\WINDOWS\system32\6EB5FBA0.DLL
这些文件名都是根据用户记得的不同磁盘分区的分区信息计算出来的
在每个磁盘分区的根目录下释放文件
C:\auto.exe这个为病毒自身的拷贝
C:\autorun.inf
2、修改注册表
添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Typedword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Startdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ErrorControldword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ImagePath"C:\WINDOWS\system32\65BE9A60.EXE-k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260DisplayName"ECCA8260"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ObjectName"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Description"6EB5FBA0"
禁止显示隐藏文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
3、病毒的服务程序
病毒的的服务将6EB5FBA0.DLL这个文件加载到winlogon,svchost.exe进程里。6EB5FBA0.DLL从网上下载一个配置文件,并该文件里的病毒URL列表下载病毒并运行
下载的病毒有传奇盗号木马。病毒作者可以更改病毒的配置文件,从而是病毒能下载病毒作者希望的其他病毒。
4、6EB5FBA0.DLL还会定期检查每个磁盘根目录下的auto.exe和autorun.inf是否存在,注册表服务项是否存在,假如不存在就马上重新生成
5、关闭用户系统的WINDOWS防火墙,关闭常用的杀毒软件
6、该病毒在代码里面加入了大量的垃圾代码,干扰分析人员。