病毒名称(中文):
时间机器下载器65697
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
65697
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。该程序主要通过网页木马、文件捆绑方式传播,它会修改系统时间,使得杀毒软件卡巴斯基无法正常运行。
1.程序运行后,生成文件
C:\WINDOWS\WINSvr32.exE
C:\WINDOWS\system32\WINSvr32.dll
2.注册表添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINSvr32"C:\WINDOWS\WINSvr32.exE"
3.病毒会首先查找互斥事件“EFIOPYKLX”,然后遍历进程,搜索explorer.exe进程。
找到explorer.exe进程后,将病毒代码注入目标进程。在内存中病毒写入了下载地址“http://www.X**X.com/khhm.exe“
以及提前获取的函数地址和信息:注入完成后,病毒通过调用CreateRemoteThread启动注入的代码,在注入的远程代码中,
病毒装载urlmon.dll,然后获取和调用URLDownloadToFileA函数,下载“http://www.j***sh.com/khhm.exe”为本地,然后
调用CreateProcessA启动下载的文件。“http://www.j***sh.com/khhm.exe”这个地址现已无效,推断应该也是一个病毒文件。
4.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。