病毒名称(中文):
病毒下载器135168
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
43520
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个使用Delphi编写的感染型木马病毒。病毒运行后会查找卡巴斯基监控窗口并关闭,然后在后台静静连接网络,从远程服务器下载病毒至用户计算机。病毒会感染用户磁盘上的所有.EXE和.SCR文件,感染后的文件会多出一个名为".KAO"的节,这时感染的文件日期即为被感染时间。
(1)病毒运行后会先CreateMutexA创建互斥体"avpkav",防止重复运行,假如创建失败则退出
(2)然后枚举进程窗口,关闭卡巴斯基实时监控窗口AVP.Tray
(3)使用FindWindowA查找IE窗口,假如不存在,病毒会创建一个新的,并注入,在后台连接网络静静下载病毒
(4)创建线程,感染用户磁盘所有.EXE和.SCR文件,感染后的文件会多出一个名为".KAO"的节,这时感染的文件日期即为被感染时间
(5)使用URLDownloadToFileA从远程服务器下载病毒至用户计算机
hxxp://xx.avpkav.com/avp.exe
hxxp://xx.avpkav.com/ver.txt
(6)病毒不会感染包括以下要害字目录下的文件
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
SystemVolumeInformation
Config.Msi
InstallShieldInstallationInformation
InternetExplorer
OutlookExpress
NetMeeting
Messenger
WindowsMediaPlayer
WinRAR
MSOCache
DocumentsandSettings
CommonFiles
