病毒名称(中文):
连环释放下载器487424
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
487424
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个感染型病下载器。它利用感染和捆绑其它文件来实现传播。进入电脑后就感染系统中的winlogo.exe文件,再利用该文件的自动启动实现运行,然后从网上下载其它病毒。
1.病毒源运行后释放文件%system32%\main.sys,注册服务EXAMPLE加载该文件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EXAMPLE;
2.main.sys释放dll文件SystemRoot\system32\ws2_32.dll:fork2,假如失败则释放\SystemRoot\system32\wsys.dll;
3.main.sys使用驱动感染技术修改操作系统程序winlogon.exe,在其中添加病毒代码来加载文件SystemRoot\system32\ws2_32.dll:fork2,重启计算机后被修改的winlogon.exe开始执行,这样就等于成功添加了加载ws2_32.dll:fork2的启动项。
4.释放的dll文件再次释放文件%temp%/svchost.exe并执行,svchost.exe注入ie下载执行其它恶意软件。
