病毒名称(中文):
下载者旁门号36884
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
36884
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者。病毒运行成功后,会立即修改系统时间。修改系统时间使依靠系统时间的杀软即时失效,此时病毒就可以连接网络下载更多的病毒,下载到的病毒都具有盗号或者弹广告的功能。并且下载的病毒数量也颇为巨大。当用户打开IE浏览器细心观察时,会发现工具栏处多了一个BAIDU的工具条,因为病毒自己释放和创建了对应的文件夹。这个病毒危害性并不非常巨大,但是下载的文件会给用户的网络游戏带来损失,以及弹广告的操作。
1.病毒运行后,会立即释放病毒,并且立即修改系统时间为2001年,使依靠系统时间的杀软即时失效,大大降低用户机器的安全性。
2.病毒会自动下载到%windows%\system32\com\hb1.exe,此时系统清理专家会拦截,假如将该病毒放行,第一次,会立即蓝屏并重启动;第二次,会自行下载病毒。其下载的病毒文件从命名为hb[N+1].exe
3.该病毒瞬间已经下载了众多病毒文件,大致如下:
%IE缓存%\EC5UKR17\sysupdate[1].exe
%IE缓存%\EC5UKR17\sysupdate[2].exe
%IE缓存%\GR8I0NOH\crt[1].exe
%IE缓存%\GR8I0NOH\crt[2].exe
%ProgramFile%\baidu(自创建文件夹)
%windows%\Minidump
%windows%\Minidump\mini022808.dmp
%windows%\upxdnd.exe
%windows%\system32\alcwzrd.exe
%windows%\system32\BDGuard.dat
%windows%\system32\boot.ini
%windows%\system32\ineters.exe
%windows%\system32\SoundMan.exe
%windows%\system32\upxdnd.dll
%windows%\system32\com\hb3.exe
%windows%\system32\drivers\BDGuard.sys
......
4.使用金山系统清理专家扫描恶意软件,发现已经有6项恶意软件存在,这些恶意软件都是具有盗号功能以及弹广告的功能,其名字如下:
恶意软件
============
NVDisp
upxdnd
广告软件
============
WebWork
伪vision广告
隐蔽软件
=============
可疑的Run启动项B
SAssist自保护模块
5.启动项被病毒自动添加,信息如下
启动项名:SoundMan对应路径:SoundMan.exe
启动项名:upxdnd对应路径:%WINDOWS%\upxdnd.exe
启动项名:svcos对应路径:%程序%\启动\svcos.exe
6.打开任务治理器发现,明明没有打开IE浏览器,却已经有两个IE进程打开并运行着,可见是病毒在自行下载。
7.打开IE浏览器,发现在工具栏下方自动添加了一个百度搜索条。