病毒名称(中文):
武装下载器114688
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。它不需创建任何启动项就可运行,会破坏多款安全软件的正常运行,然后从病毒作者指定的网址下载大量的木马程序。
释放病毒文件:
%sys32dir%\wininnet.nls
%temp%\orz.exe
病毒运行后映像劫持了avp、毒霸、瑞星、nod32等N多安全软件.
生成随机6个字符的驱动文件,如生成随机字符失败则使用指定的字符"cafesvr",创建驱动文件后创建服务并启动.
病毒通过重定位ntoskrnl.exe(2000系统)或ntkrnlpa.exe(Xp系统),并通过"\\.\XPSAFE"符号连接与驱动之间通信恢复SSDT.
创建线程结束大量的安全软件进程.(使用了四种结束进程的方式)
调用%sys32dir%\wininnet.nls的导出函数,执行全局挂钩.
生成的%temp%\orz.exe里的数据为"FUCKFLASH.".
下载以下网址(如成功下载一个就停止下载其它),下载后保存为%sys32dir%\config.ini.
http://txt.sonuher6.info/tt/1.txt
http://txt.yinuoben7.info/tt/1.txt
http://xtx.sonuher6.info/tt/2.txt
http://xtx.yinuoben7.info/tt/2.txt
http://tox.sonuher6.info/tt/3.txt
http://tox.yinuoben7.info/tt/3.txt
读取%sys32dir%\config.ini的内容(木马下载地址N个),执行下载操作.下载保存在%sys32dir%\XXXXX.exe(XXXXX为随机的5个字符)并执行.
