病毒名称(中文):
伪装下载器27648
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
27648
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器程序。它会修改注册表实现自动运行,假如成功运行起来后,就会从指定的地址下载15个其它木马病毒并运行。
1.程序运行后,生成文件
C:\WINDOWS\system32\lo.dll
C:\game.hiv
C:\play.hiv
C:\WINDOWS\system32\liveupdate.exe
C:\DocumentsandSettings\fish\Recent\virus.lnk
2.添加注册表项,实现开机自启动:
HKCU\Software\pchar\Explorer\Runwscripte"C:\WINDOWS\system32\liveupdate.exe"
3.该病毒把自身复制到系统盘system32下,改名为liveupdate.exe。并复制系统中的文件URLMON.DLL,将它改名为lo.dll,
放到system32下,接着,病毒在注册表中添加自启动项,当它成功运行起来后,就会从指定的地址
http://www.l**down.com.cn/img/logo1.exe
http://www.l**down.com.cn/img/logo2.exe
http://www.l**down.com.cn/img/logo3.exe
.
.
.
http://www.l**down.com.cn/img/logo14.exe
http://www.l**down.com.cn/img/logo15.exe
下载15个其它木马病毒并运行,它们都在system32下。