病毒名称(中文):
精确制导下载器28672
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
28672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个木马下载器程序。为了躲避杀毒软件查杀,它对自己的数据信息进行了加花处理。它最大的特点是,能判定当前感染系统的版本、语言版本等信息,选择不同的木马进行下载。
1.通过netshFirewallsetallowedprogram命令使windows防火墙答应病毒程序连接网络进行操作。
2.释放病毒副本:
X:\WINDOWS\System32\winds32.exe;
3.添加自启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
"System32"=X:\WINDOWS\System32\winds32.exe;
4.在注册表中禁用任务治理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,
"DisableTaskMgr"=1;
5.判定当前系统cpu型号,系统语言版本,操作系统版本等信息,根据这些信息选择不同的下载地址。
6.连接地址http://sum4count.net/adv/058/adload.php读取下载列表,下载的木马文件路径和文件名类似如下情况:x:\windows\system32\dflgh8jkd2q1.exe,运行下载回来的这些木马文件,盗取用户有价值的信息。
7.连接地址下载并运行以下文件:
http://s*****unt.net/pyewgjhfdgjhdf/search.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/winlogon.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/tibs.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/tool.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/proxy.jpg
保存的路径和文件名同上。