病毒名称(中文):
AUTO分身下载器70144
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
70144
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用AUTO技术进行传播的木马下载器。它会劫持一系列杀毒程序,在各磁盘分区的根目录下生成AUTO文件autorun.inf与extensionsk.exe,然后下载其它病毒到用户电脑中运行。该病毒还具有一定的自我保护能力。
1.程序运行后,生成文件
%System32%\Extensionsk.exe
在各盘根目录下生成autorun.inf与Extensionsk.exe文件
2.在注册表中添加了注册项,如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Extensionsk
项名:ImagePath
对应路径:%System32%\Extensionsk.exe
3.调用Cmd,把系统时间改为2005-10-31,添加映像劫持项目劫持一些杀毒软件到%System32%\Extensionsk.exe
4.启动IE下载http://www.h***ui.org/UpFile/UpFace/bak.exe但连接已失效
5.病毒运行后释放~DsiuA!.bat删除自身,当完成上述这些动作后,病毒会启动两个svchost.exe,并将自身的病毒代码写入这两
个svchost.exe进程之中,这两个svchost.exe会互相监视对方,且此时的病毒也无法删除