Win32.Troj.Downloader.yl.a.36864

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

依然下载者36864

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

36864

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载者病毒,该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行,并会不断检测窗口来关闭一些杀毒软件及一些要害字为“木马”,“杀毒”,“防火墙”,“任务治理器”……之类的窗口。病毒会在每个分区下释放AUTORUN.INF来达到自运行,运行成功后会下载大量的木马到本地机器运行。

病毒简介这是一个下载者病毒,该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行,并会不断检测窗口来关闭一些杀毒软件及一些要害字为‘木马’,’杀毒’,’防火墙’,’任务治理器’…..之类的窗口.病毒会在每个分区下释放AUTORUN.INF来达到自运行.病毒运行成功后会下载大量的木马到本地机器运行.

病毒功能:

一、自动检测是否安装卡巴,安装马上修改时间使之失效.无卡巴存在不改系统时间。

二、映像劫持所有主流安全产品,使所有安全软件失效。运行以下的安全工具及杀毒软件

会被映象劫持:

1.360rpt.exe(360木马举报程序)

2.360Safe.exe,360tray.exe,safelive.exe(360安全卫士)

3.adam.exe(绿鹰PC万能精灵)

4.AppSvc32.exe,

ccSvcHst.exe,

symlcsvc.exe

isPwdSvc.exe

(Symantec杀毒系列)

5.autoruns.exe(Sysinternals公司的自启动项治理器)

6.avp.exe,avp.com,AvMonitor.exe(卡巴斯基杀毒软件)

7.CCenter.exe(瑞星信息中心程序)

8.FileDsty.exe(瑞星文件粉碎器)

9.FTCleanerShell.exe,TROJANWALL.exe(Windows木马清道夫)

10.IceSword.exe(冰刃)

11.iparmo.exe,Iparmor.exe(木马克星)

12.avgrssvc.exe(AVG反病毒)

13.kabaload.exe(卡巴斯基下载程序)

14.KaScrScn.SCR(金山屏保杀毒)

15.KASMain.exe,KASTask.exe(金山清理专家)

16.KAV32.exe

KAVDX.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KWatch.exe

KWatch9x.exe

KWatchX.exe

TrojanDetector.exe

UpLive.EXE

(金山毒霸杀毒软件)

17.KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

(金山防火墙)

18.KRepair.COM

19.KsLoader.exe

20.KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

TrojDie.kxp

UIHost.exe

(江民杀毒软件)

21.loaddll.exe

22.MagicSet.exe(超级兔子魔法设置)

23.mcconsol.exe(McAfee的VirusScanConsole)

24.mmqczj.exe(木马清除专家)

25.mmsk.exe(木马杀客)

26.NAVSetup.exe(诺顿杀毒软件)

27.nod32krn.exe,nod32kui.exe(NOD32杀毒软件)

28.PFW.exe,PFWLiveUpdate.exe(天网防火墙)

29.QHSET.exe

30.Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

SmartUp.exe

(瑞星杀毒软件)

31.rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

(瑞星防火墙)

32.RsAgent.exe

Rsaupd.exe

runiep.exe

(瑞星卡卡助手等工具)

33.scan32.exe,shcfg32.exe(McAfeeVirusScan)

34.SREng.exe(SREng)

35.SysSafe.exe(SSM监控软件)

36.UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

(TinyFirewall防火墙)

37.HijackThis

38.WoptiClean.exe(优化大师)

三、不断检测窗口标题,假如匹配到以下要害字就对该窗口发送关闭、退出和销毁消息

使NOD32,微点,360安全卫士,任务治理器等,自动被关闭。甚至连一些安全网站都

无法打开。

防火墙

任务治理器

木马

超级巡警

主线程

NOD32

微点

安全卫士

NOD32内核

杀毒

四、病毒运行时,为了使自己下载流畅就会劫持其它下载者的运行:

zxsweep.exe

sos.exe

auto.exe

UFO.exe

AutoRun.exe

XP.exe

taskmgr.exe(注,病毒也劫持系统任务治理器)

ShuiNiu.exe

Systom.exe

svch0st.exe

五、病毒将自己拷贝到%WINDIR%\SYSTEM32\Flower.exe和

%WINDIR%\SYSTEM32\drivers\disdn\Flower.exe.并将系统的URLMON.DLL拷贝到

%WINDIR%\SYSTEM32\Flower.DLL,通过调用Flowe.dll中的下载函数来绕过一些

下载监视软件.病毒还将下载代码注入到系统进程中,使一些防火墙软件和下载者监视器失效.

六、病毒会在所有硬盘分区和U盘分区下释放病毒的副本,并创建AUTORUN.INF文件指向它,使用户一打开分区就激活病毒。

感染文件

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航