病毒名称(中文):
伪装杀手下载器18944
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
18944
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个病毒下载器。它从指定的网址读取下载列表,再根据列表中的地址去下载其它病毒文件,保存至本地执行。为提高传播速度,该毒还在各磁盘分区下生成AUTO病毒。同时,它也具备对抗部分杀毒软件的能力。
病毒释放以下病毒文件:
%systemroot%\system32\TransferSebvice.exe
查看系统上是否存在"%systemroot%\system32\drivers/klif.sys"这个文件,有则设置系统时间为"1981-01-12".
从指定的网址上读取下载列表,下载病毒保存至%systemroot%\system32文件夹下并执行.
每个磁盘下根目录下生成autorun.inf和TransferSebvice.exe,autorun.inf指向病毒文件TransferSebvice.exe.
病毒创建注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TransferService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TransferServiceTypedword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TransferServiceImagePath"%systemroot%\system32\TransferSebvice.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TransferServiceDisplayName"PerforandAlell"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TransferServiceDescription"360安全设置"
修改注册表值:
Key:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
Value:"NoDriveTypeAutoRun"
Data:"0"
后台连接的网址:
http://xxx.ads555.com/txt071217/1001.txt
