病毒名称(中文):
武装下载器69632
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
69632
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录治理器进程winlogon.exe中,执行秘密下载。同时,该木马会试图关闭系统自带的错误报告系统和部分杀毒软件,防止用户对它进行查杀。
1.关闭系统错误报告服务(ERSvc):
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting的DoReport,ShowUI,ReportBootOk
键为0
2.修改注册表项,隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL
键值:"CheckedValue"=dword:00000000
3.修改日期:
修改系统日期为2005年。
4.创建c:\autorun.inf文件。
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
5.修改注册表,新建服务,并以服务的方式达到随机启动的目的:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\dd33gsd2
键值:字串:"ImagePath"="C:\WINDOWS\system32\dd33gsd2.exe-k"
服务名称:dd33gsd2
显示名称:dd33gsd2
描述:dd33gsd2
可执行文件的路径:C:\WINDOWS\system32\dd33gsd2.exe
启动方式:自动
6.查找对话框窗口,判定窗口类是否为"Button",窗口名为"是(&Y)",假如是则向该窗口发送左键按下消息,以关闭该窗口
7.查找是否存在KAVStart进程,假如存在则向其"操作"菜单发送"退出"命令。
8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。