病毒名称(中文):
伪装进程下载器208896
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
208896
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
1.程序运行后,生成文件
C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507
C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat
并且修改IE缓冲区中的文件.
2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、
internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下
相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows文件保护”的窗口,若找到则通过API函
数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数
InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运
行;破坏系统和盗取帐号信息。
3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。