订阅病毒名稱(中文):
僞裝進程下載器208896
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬下載器
病毒長度:
208896
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個木馬下載程序。該程序圖標爲Windows默認可執行文件圖標,病毒擴展名爲exe,主要通過網頁木馬、文件捆綁方式傳播。
1.程序運行後,生成文件
C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507
C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat
並且修改IE緩沖區中的文件.
2.該木馬被執行後,通過API函數GetModuleFileNameA獲取當前模塊對應的文件名,之後依次與以下文件名:conime.exe、
internat.exe、ctfmon.exe、explorer.exe進行比較,若發現與某個文件名相同,則執行目錄%systemroot%\system32\dllcache下
相同名稱的程序,欺騙用戶誤認爲是正常的系統文件;開啓一線程查找窗口名爲「Windows文件保護」的窗口,若找到則通過API函
數ShowWindow將其隱藏;通過API函數URLDownloadToCacheFileA將如下網址中含有下載列表的文件下載到緩沖區,通過API函數
InternetOpenA、InternetOpenUrlA、InternetReadFile依次訪問下載列表中的網站,將多種病毒和木馬程序下載到本地%temp%並運
行;破壞系統和盜取帳號信息。
3.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。
