病毒名称(中文):
蓝屏木马下载器36864
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
36864
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器程序。该程序会关闭一些常见的杀毒软件和安全辅助软件,并修改IE首页内容,启动IE从木马种植者指定网址下载别的木马。随着被下载到电脑中的木马越来越多,系统将无法承受庞大的资源占用,几分钟后,它就可能崩溃。
1.程序运行后,生成文件
%system32%\winlugan.exe
2.程序会修改文件
%DocumentsandSettings%\LocalService\Cookies\index.dat
%system32%\wbem\Repository\FS\INDEX.BTR
%system32%\wbem\Repository\FS\MAPPING.VER
%system32%\wbem\Repository\FS\MAPPING1.MAP
%system32%\wbem\Repository\FS\OBJECTS.DATA
%system32%\wbem\Repository\FS\OBJECTS.MAP
2.在注册表中添加了注册项,如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent
启动项名:@对应值:"1GoogleOnlineSearchService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1GoogleOnlineSearchService
启动项名:DisplayName对应值:"1GoogleOnlineSearchService"
3.木马会尝试去关闭McAfee,东方微点,奇虎360,AVP,金山毒霸等杀毒软件。
4.木马会自动从下列网址下载大量木马和病毒:
http://5y*rscon**a*t.com/check/tpktskend.php?gjgngb=rtfds&tsk=..
http://5y*rscon**a*t.com/check/tpknlkpebckd.php
http://5y*rscon**a*t.com/check/tpktskr2.php
