病毒名称(中文):
恶心莲蓬下载器
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
991232
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载者程序。该病毒会在硬盘各个分区的根目录下生成AUTO病毒,并严重破坏系统文件,然后下载大量木马文件。
1.程序运行后,生成文件
c:\windows\tasks\0x01xx8p.exe
c:\windows\tasks\explorer.ext
c:\windows\system32\7560.dat
c:\windows\system32\a0.ext
.
.
.
c:\windows\system32\a25.ext
c:\windows\system32\oko.exe
c:\windows\system32\msosdohs.dat
c:\windows\system32\msosdohs00.dll(插入explorer.exe进程)
c:\windows\system32\msosdohs01.dll(插入explorer.exe进程)
c:\windows\system32\ttEZZEZZ1044.dll
c:\windows\system32\ttNNBNNB1047.dll
c:\windows\system32\txWWQWWQ1006.dll
c:\zzz.sys(加载后自动删除)
c:\windows\system32\drivers\msosfpids32.sys
病毒文件还有不少(太多了写不完)
2.病毒会感染硬盘中的.exe、.htm、html文件;删除c:\windows\system32\verclsid.exe;替换C:\windows\explorer.exe。
3.c:\windows\system32\75132.dat和c:\windows\system32\urjuujdw.hew两个进程相互配合,
指挥c:\windows\system32\msosdohs00.dll和c:\windows\system32\msosdohs01.dll插入系统核心进程、
explorer.exe进程以及所有应用程序进程(包括安全软件的进程也被插入)。病毒会破坏还原保护,破坏防火墙,破坏
explorer.exe,使用户不能进入桌面,安装恶意插件ppc.Hook,也破坏系统监视软件,创建LegacyDriver并建立服务,
文件名随机。
4.病毒下载地址:
http://http://58.*3.1*8.37/a0~25.exe
http://http://58.*3.1*8.37/oko.exe