病毒名称(中文):
武装窃贼147456
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
147456
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。该木马修改注册表项,采用多种手段对抗杀毒软件,然后下载执行恶意代码,窃取用户的个人数据。
1.生成文件:
%system32%\y080517.exe
%system32%\ljy32.dll
文件名是随机的
2.修改注册表,实现木马开机自动运行
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
y080517"C:\WINDOWS\system32\y080517.exe"
3.运行后,强行篡改被感染计算机上的系统时间,致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件,
一旦发现便强行将其关闭,大大降低了被感染计算机上的安全性。在后台连接指定的服务器,下载恶意程序并自动调用运行,
给用户带来一定程度的危害。
4.运行将恶意驱动程序自我注册为系统服务,还原系统“SSDTHOOK”,从而使部分安全软件的保护功能失效,达到躲避安全
软件的防御和查杀的目的。该恶意驱动程序执行完毕后会自我删除,将恶意DLL组件程序插入到所有用户级权限的进程中加载
运行,隐藏自我,防止被查杀。还具有躲避防火墙监控的功能,大大降低被感染计算机上的安全性。
