病毒名称(中文):
仿真机器狗
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
25088
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似,都是破坏安全软件和系统安全模块后执行病毒下载行为。不过,由于此毒是一个半成品,因此只会破坏电脑的安全系统,而无法执行下载。
1.病毒开始运行后,首先删除注册表中一些免疫机器狗病毒工具的启动信息,修改系统时间为2003年。
2.在系统%windows%\system32\drivers下释放文件7.tmp(文件名随机),创建服务DPhyDiskSys并开启以加载该文件。
3.执行命令"caclsC:\WINDOWS\System32/e/peveryone:f"替换掉所有用户对系统目录的完全控制权限。
4.判定硬盘第一分区是否是活动分区及分区类型是否支持,利用7.tmp在硬盘中定位explorer.exe,向7.tmp加载的设备发送指定命
令修改explorer.exe,成功后删除文件7.tmp。
5.释放新木马病毒c:\temp\c.tmp并运行(文件名随机),创建bat文件删除自身。