Win32.Troj.OnlineGameT.bd.65697

病毒名稱(中文): 時間機器下載器65697 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 65697 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載器。該程序主要通過網頁木馬、文件捆綁方式傳播，它會修改系統時間，使得殺毒軟件卡巴斯基無法正常運行。 1.程序運行後，生成文件 C:\WINDOWS\WINSvr32.exE C:\WINDOWS\system32\WINSvr32.dll 2.注冊表添加啓動項： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINSvr32 "C:\WINDOWS\WINSvr32.exE" 3.病毒會首先查找互斥事件「EFIOPYKLX」，然後遍曆進程，搜索explorer.exe進程。 找到explorer.exe進程後，將病毒代碼注入目標進程。在內存中病毒寫入了下載地址「http://www.X**X.com/khhm.exe「 以及提前獲取的函數地址和信息：注入完成後，病毒通過調用CreateRemoteThread啓動注入的代碼，在注入的遠程代碼中， 病毒裝載urlmon.dll，然後獲取和調用URLDownloadToFileA函數，下載「http://www.j***sh.com/khhm.exe」爲本地，然後 調用CreateProcessA啓動下載的文件。「http://www.j***sh.com/khhm.exe」這個地址現已無效，推斷應該也是一個病毒文件。 4.遍曆進程檢測當前進程中是否存在AVP.exe，若存在則修改當前系統時間，使其不能正常運行。