病毒名称(中文):
冒牌杀软下载器106156
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
106156
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个经过伪装的木马下载器。它利用电脑用户对于屏保退出的方法不熟悉,以及用户们对安全的渴望,在电脑中伪造系统崩溃现象,欺骗用户下载一个所谓的“杀毒软件”。
1.先释放ph[随机字符].bmp到%windir%\system32\下
2.将自身复制到%windir%\system32\下的lph[随机字符].exe,删除自己
3.释放blph[随机字符].scr到%windir%\system32\下
4.在注册表中创建
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"lph[随机字母]"="%windir%\system32\lph[随机字母].exe"
5.释放C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.tt[随机数字].tmp.vbs(开启系统还原)
6.修改注册表的桌面和屏保设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore\"DisableSR"="0"(开启系统还原)
HKEY_CURRENT_USER\ControlPanel\Colors\"Background"="00255"(背景改成蓝色)
HKEY_CURRENT_USER\ControlPanel\Desktop\"ScreenSaveActive"="1"
HKEY_CURRENT_USER\ControlPanel\Desktop\"TileWallpaper"="0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SoftwareNotifier\"InstallationID"="906b1f2d-66b5-439e-8c02-9d08858fe527"
HKEY_CURRENT_USER\ControlPanel\Desktop\"ConvertedWallpaper"="%windir%\ph[随机字母].bmp"
HKEY_CURRENT_USER\ControlPanel\Desktop\"SCRNSAVE.EXE"="%windir%\blph[随机字母].scr"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispBackgroundPage"="0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispScrSavPage"="0"
HKEY_CURRENT_USER\Software\Sysinternals\BluescreenScreenSaver\"EULAAccepted"="1"
(BluescreenScreenSaver屏保产生的一个键值,该屏保模拟Windows系统的蓝屏死机现象)
7.连接"http://xxxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"
"http://xxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"
下载伪杀毒软件(链接失效)