订阅病毒名稱(中文):
文件夾下載器36864
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬下載器
病毒長度:
36864
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個木馬下載風險程序。它主要通過網頁木馬、文件捆綁、移動存儲介質方式傳播。木馬的圖標會僞裝成Windows默認的可執行文件圖標,擴展名爲exe,騙過用戶的注重或誘惑用戶點擊。
1.程序運行後,生成文件
%system32%\Security.exe
2.病毒修改注冊表鍵值:
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:DisplayName
指向數據:PerformanceLogsandAle
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:ImagePath
指向文件:%systemroot%\system32\Security.exe
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Description
指向數據:IntelRegistryService
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Start
指向數據:02
3.木馬執行後,檢測%system32%\drivers目錄下是否存在驅動文件klif.sys,假如存在則以命令行的方式修改系統時間,使部分殺毒軟件不能正常使用;
拷貝自身到system32目錄下,重命名爲Security.exe,修改文件屬性爲隱藏、系統;用SCM寫注冊表項將Security.exe注冊成名爲Privilege的服務,
通過使用相關函數啓動被注冊的服務;通過相關API函數運行Security.exe;
4.Security.exe運行後,開啓一線程關閉「IE執行保護」與「瑞星卡卡上網安全助手-IE防漏牆」的安全提示;開啓一IEXPLORE.EXE進程,申請內存空間將
病毒一部分代碼寫入,並通過相關函數激活病毒代碼進行代碼注入逃避殺毒軟件的查殺,並訪問惡意網站下載其它病毒程序並運行;遍曆盤符在移動存儲介質中
釋放隱藏病毒文件和autorun.inf,使用Windows自動播放功能來傳播病毒;以批處理的方式將病毒原文件刪除。
陝西省紀委監委日前通報了4起在曆史文化遺産保護中失職失責的典型案例
