病毒名称(中文):
覆盖式木马下载器976896
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
976896
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马,采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动,然后启动%systemRoot%\system32\dllcache中的explorer.exe文件来启动桌面。创建线程循环查找窗口,假如发现“Windows文件保护”的对话框窗口则隐藏该窗口;假如发现进程中有卡巴斯基的主程序则修改系统时间为2001年。连接http://n*w.******.com/xin.txt下载一个文本,该文本为需下载的病毒列表,根据该列表下载木马到本机并运行。
1.程序运行之后会首先调用GetModuleFileNameA获取自己的完整路径以得到自身的文件名。
2.判定自己的文件名是否为下面几个文件中的一个
conime.exe,internat.exe,ctfmon.exe,explorer.exe
3.调用GetFileAttributes判定%systemRoot%\system32\dllcache中同名的文件是否存在,假如存在则调用WinExec将%systemRoot%\system32\dllcache中对应的程序调用启动。
4.创建线程,调用FindWindowA循环查找窗口。假如找到WindowsName为"Windows文件保护",WindowsClass名为"#32770"的窗口则调用ShowWindow隐藏该窗口。
5.在系统临时文件夹创建如下文件~wupcai。
6.遍历进程快照看是否有AVP.exe,假如存在该进程则更改系统时间为2001年
7.连接http://n*w.******.com/xin.txt下载一个文本,该文本为要下载的病毒列表
而后该程序会按照该列表中的网址下载病毒并运行。
