Win32.Troj.Downloader.ns.25088

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

仿真机器狗

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

25088

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似,都是破坏安全软件和系统安全模块后执行病毒下载行为。不过,由于此毒是一个半成品,因此只会破坏电脑的安全系统,而无法执行下载。

1.病毒开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,修改系统时间为2003年。

2.在系统%windows%\system32\drivers下释放文件7.tmp(文件名随机),创建服务DPhyDiskSys并开启以加载该文件。

3.执行命令"caclsC:\WINDOWS\System32/e/peveryone:f"替换掉所有用户对系统目录的完全控制权限。

4.判定硬盘第一分区是否是活动分区及分区类型是否支持,利用7.tmp在硬盘中定位explorer.exe,向7.tmp加载的设备发送指定命

令修改explorer.exe,成功后删除文件7.tmp。

5.释放新木马病毒c:\temp\c.tmp并运行(文件名随机),创建bat文件删除自身。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航