病毒名称(中文):
顽固下载器71168
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
71168
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀,进行了较多的伪装,并且释放出的病毒文件路径及文件名均可变。
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
2.模拟正常软件执行过程,在注册表如下位置写入信息:
HKCU\Software\Acat,"ohsu"=2c034563(无用的16进制数)。
HKCU\Software\Cebs"Aacu"=24124565(无用的16进制数)。
3.在一可变路径下新建目录,在该目录下释放病毒副本文件,副本文件名也为可变,通过观察病毒副本文件可能位于:
c:\DocumentsandSetting\[username]\ApplicationData\system32\explorer.exe,
c:\programsFiles\security\scanregw.exe;
副本文件路径有多种,不一一列出。
4.病毒创建自启动项来使释放的副本文件随系统加载:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
"ocss"=c:\programsFiles\security\scanregw.exe-vttzt(该值当前释放的病毒副本全路径)
5.病毒运行以参数-vttzt运行所释放的副本文件;
6.新病毒进程开启后到指定地址读取病毒下载列表,病毒下载列表地址如下:
http://nf.o****info.com/notify.php
