病毒名称(中文):
劫持者木马下载器94208
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
94208
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个木马下载者。病毒运行后会衍生病毒文件至客户本机,以及下载大量木马病毒至用户机器上并安装.
1.生成文件
%Sys32dir%\a.jpg
%Sys32dir%\vista.exe
%Sys32dir%\config\systemprofile\vista.exe
病毒运行后还会在每个盘的根目录下生成test.ext文件和Autorun.inf文件,并把system32目录下的urlmon.dll文件复制改名为Flower.dll
2.修改注册表,添加启动项.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\runShebe"C:\WINDOWS\system32\vista.exe"
3.病毒运行后会创建和病毒源文件相同名字的进程.
4.病毒运行后还会修改以下注册表键,利用映像劫持令金山毒霸,360,IceSword等安全软件无法运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions5.病毒运行后会令资源治理器,注册表编辑器无法打开.
6.病毒运行后会修改以下注册表键,使隐藏文件无法显示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue
7.病毒运行后会从以下地址下载其他的病毒文件(共40个)至本机c:\DocumentsandSettings\目录下:
http://dj.1****2035.cn/xiazai/1.exe
http://dj.1****2035.cn/xiazai/2.exe
http://dj.1****2035.cn/xiazai/3.exe
http://dj.1****2035.cn/xiazai/4.exe
...
http://dj.1****2035.cn/xiazai/40.exe