病毒名称(中文):
AUTO病毒15598
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
15598
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。假如用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成autorun.inf文件,扩散自己的传播范围。
这是一个下载者病毒,通过创建系统服务实现开机自启动.
从多个网址上下载病毒文件,并保存在系统上执行.
通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用cmd的date命令修改系统日期.
在系统上的每个磁盘下生成autorun.inf文件,并指向病毒文件.(把systemroot\system32\Dser.exe复制一份至磁盘根目录下)
病毒运行后释放以下病毒文件:
%systemroot%\system32\Dser.exe(文件属性为"隐藏"和"系统")
判定系统上是否存在%systemroot%\system32\drivers\klif.sys文件,如存在则使用cmd带参数设置当前系统时间为1981-01-12.
病毒释放文件后在system32文件夹下创建批处理文件,并创建进程运行,删除自身:
:try
del"病毒源文件(释放源)"
ifexist"病毒源文件(释放源)"gototry
del%0
创建线程查找窗口标题名为"IE执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手-IE防漏墙"窗口.如发现,则获取其窗口的"答应执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下).
后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:
http://www.8**ao***mm.bj.cn/123.exe
http://www.8**ao***mm.bj.cn/124.exe
http://www.8**ao***mm.bj.cn/125.exe
http://www.8**ao***mm.bj.cn/126.exe
http://www.8**ao***mm.bj.cn/127.exe
http://www.8**ao***mm.bj.cn/128.exe
下载后的病毒文件全部保存在system32文件夹下.
在系统上的每个磁盘下创建autorun.inf文件,并把病毒文件复制一份至磁盘根目录下.autorun.inf文件指向病毒文件Dser.exe
病毒通过创建注册表系统服务实现开机自启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownImagePath"%systemroot%\system32\Dser.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownDisplayName"AntiVirus"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownObjectName"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownDescription"网络安全向导"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Service"WinServerDown"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Legacydword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Class"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000DeviceDesc"AntiVirus"
