Win32.TrojDownloader.FraudLoad.66048

病毒名称(中文):

伪装暴力下载器66048

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

黑客程序

病毒长度:

66048

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很轻易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其它木马。

1.释放病毒

%LocalSettings%\TemporaryInternetFiles\Content.IE5\C4DGV5NI\goggle[1].htm

%WINDOWS%\braviax.exe

%WINDOWS%\cru629.dat

%system32%\braviax.exe

%system32%\cru629.dat

%system32%\univrs32.dat

%system32%\winivstr.exe

生成在wincmd.ini文件中添加：

firstmnu=3513

[lefttabs]

0_path=c:\WorkTools0_options=1|0|0|0|0|1|0

activetab=1

[righttabs]

0_path=c:\WorkTools\OllyICE0_options=1|0|0|0|0|0|0

activetab=0

activelocked=1

2.创建键值，建立服务，可以自启动

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

SearchBar"http://www.google.com/ie"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

braviax"C:\WINDOWS\system32\braviax.exe"

3.修改注册表项

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions"="yes"

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchBar"="http://www.google.ie"

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchPage"="http://www.google.com"

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"StartPage"="http://www.google.com"

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"Default_Search_URL"="http://www.google.ie"

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"SearchPage"="http://www.google.com"

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"StartPage"="http://www.google.com"

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\"SearchAssistant"="http://www.google.com"

修改以下注册表项，减低系统安全设置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify"="01000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify"<="01000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify"="01000000"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify"="01000000"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify"="01000000"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify"="01000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standa

rdProfile\EnableFirewall"="00000000"

4.病毒注入到所有进程中并调用运行，保护病毒体不被复制、删除。破坏多款防火墙程序，窃取被感染计算机

上用户的私密信息并发送给病毒作者，另外，可能会破坏用户计算机系统内的某些应用程序等。

5.从http://www.so****shier.com/me***ers/link[已删除],下载执行其他病毒