病毒名称(中文):
劫匪下载器32256
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
32256
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个病毒下载器程序。它会通过映像劫持Windows自动升级治理程序来实现自动运行,然后在后台静静执行病毒下载程序。
病毒释放以下病毒文件:
%systemroot%\system32\tyt.dll
%ProgramFiles%\InternetExplore\IEXPLORER.exe
病毒释放的%systemroot%\system32\tyt.dll是系统文件urlmon.dll,病毒自带这个系统文件.
病毒通过映像劫持Wuauclt.exe启动,Wuauclt.exe是Windows自动升级治理程序,该进程会不断在线检测更新.
病毒在后台连接http://77169.com/vip.exe,保存为本地文件并执行.
病毒增加注册表映像劫持项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Wuauclt.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Wuauclt.EXEDebugger"%ProgramFiles%\InternetExplore\IEXPLORER.exe"