病毒名称(中文):
文件夹下载器36864
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
36864
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标,扩展名为exe,骗过用户的注重或诱惑用户点击。
1.程序运行后,生成文件
%system32%\Security.exe
2.病毒修改注册表键值:
项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:DisplayName
指向数据:PerformanceLogsandAle
项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:ImagePath
指向文件:%systemroot%\system32\Security.exe
项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:Description
指向数据:IntelRegistryService
项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:Start
指向数据:02
3.木马执行后,检测%system32%\drivers目录下是否存在驱动文件klif.sys,假如存在则以命令行的方式修改系统时间,使部分杀毒软件不能正常使用;
拷贝自身到system32目录下,重命名为Security.exe,修改文件属性为隐藏、系统;用SCM写注册表项将Security.exe注册成名为Privilege的服务,
通过使用相关函数启动被注册的服务;通过相关API函数运行Security.exe;
4.Security.exe运行后,开启一线程关闭“IE执行保护”与“瑞星卡卡上网安全助手-IE防漏墙”的安全提示;开启一IEXPLORE.EXE进程,申请内存空间将
病毒一部分代码写入,并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀,并访问恶意网站下载其它病毒程序并运行;遍历盘符在移动存储介质中
释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的方式将病毒原文件删除。