订阅病毒名稱(中文):
時間機器下載器65697
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬下載器
病毒長度:
65697
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個木馬下載器。該程序主要通過網頁木馬、文件捆綁方式傳播,它會修改系統時間,使得殺毒軟件卡巴斯基無法正常運行。
1.程序運行後,生成文件
C:\WINDOWS\WINSvr32.exE
C:\WINDOWS\system32\WINSvr32.dll
2.注冊表添加啓動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINSvr32"C:\WINDOWS\WINSvr32.exE"
3.病毒會首先查找互斥事件「EFIOPYKLX」,然後遍曆進程,搜索explorer.exe進程。
找到explorer.exe進程後,將病毒代碼注入目標進程。在內存中病毒寫入了下載地址「http://www.X**X.com/khhm.exe「
以及提前獲取的函數地址和信息:注入完成後,病毒通過調用CreateRemoteThread啓動注入的代碼,在注入的遠程代碼中,
病毒裝載urlmon.dll,然後獲取和調用URLDownloadToFileA函數,下載「http://www.j***sh.com/khhm.exe」爲本地,然後
調用CreateProcessA啓動下載的文件。「http://www.j***sh.com/khhm.exe」這個地址現已無效,推斷應該也是一個病毒文件。
4.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。
