订阅病毒名稱(中文):
劫匪下載器32256
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬下載器
病毒長度:
32256
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個病毒下載器程序。它會通過映像劫持Windows自動升級治理程序來實現自動運行,然後在後台靜靜執行病毒下載程序。
病毒釋放以下病毒文件:
%systemroot%\system32\tyt.dll
%ProgramFiles%\InternetExplore\IEXPLORER.exe
病毒釋放的%systemroot%\system32\tyt.dll是系統文件urlmon.dll,病毒自帶這個系統文件.
病毒通過映像劫持Wuauclt.exe啓動,Wuauclt.exe是Windows自動升級治理程序,該進程會不斷在線檢測更新.
病毒在後台連接http://77169.com/vip.exe,保存爲本地文件並執行.
病毒增加注冊表映像劫持項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Wuauclt.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Wuauclt.EXEDebugger"%ProgramFiles%\InternetExplore\IEXPLORER.exe"
