金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
这是一个下载者病毒,通过创建系统服务实现开机自启动. 从多个网址上下载病毒文件,并保存在系统上执行.
行为分析:
这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。
:
影响系统:
Win9x,WinMe,Linux
简介:
这是一个下载者病毒,通过创建系统服务实现开机自启动. 从多个网址上下载病毒文件,并保存在系统上执行.
行为分析:
这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。
描述:
这是一个下载者病毒,通过创建系统服务实现开机自启动.
从多个网址上下载病毒文件,并保存在系统上执行.
通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用 cmd 的 date 命令修改系统日期.
在系统上的每个磁盘下生成 autorun.inf 文件,并指向病毒文件.(把 systemrootsystem32Dser.exe 复制一份至磁盘根目录下)
病毒运行后释放以下病毒文件:
%systemroot%system32Dser.exe (文件属性为"隐藏"和"系统")
判断系统上是否存在 %systemroot%system32driversklif.sys 文件,如存在则使用 cmd 带参数设置当前系统时间为 1981-01-12 .
病毒释放文件后在 system32 文件夹下创建批处理文件,并创建进程运行,删除自身:
:try
del "病毒源文件(释放源)"
if exist "病毒源文件(释放源)" goto try
del %0
创建线程查找窗口标题名为"IE 执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手 - IE防漏墙"窗口.如发现,则获取其窗口的"允许执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下).
后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:
http:/ /www.8**ao***mm.bj.cn/123.exe
http:/ /www.8**ao***mm.bj.cn/124.exe
http:/ /www.8**ao***mm.bj.cn/125.exe
http:/ /www.8**ao***mm.bj.cn/126.exe
http:/ /www.8**ao***mm.bj.cn/127.exe
http:/ /www.8**ao***mm.bj.cn/128.exe
下载后的病毒文件全部保存在 system32 文件夹下.
在系统上的每个磁盘下创建 autorun.inf 文件,并把病毒文件复制一份至磁盘根目录下. autorun.inf 文件指向病毒文件 Dser.exe
病毒通过创建注册表系统服务实现开机自启动:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown ImagePath "%systemroot%system32Dser.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown DisplayName "AntiVirus"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown ObjectName "LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown Description "网络安全向导"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Service "WinServerDown"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Legacy dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Class "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 DeviceDesc "AntiVirus"
这是一个下载者病毒,通过创建系统服务实现开机自启动.
从多个网址上下载病毒文件,并保存在系统上执行.
通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用 cmd 的 date 命令修改系统日期.
在系统上的每个磁盘下生成 autorun.inf 文件,并指向病毒文件.(把 systemrootsystem32Dser.exe 复制一份至磁盘根目录下)
病毒运行后释放以下病毒文件:
%systemroot%system32Dser.exe (文件属性为"隐藏"和"系统")
判断系统上是否存在 %systemroot%system32driversklif.sys 文件,如存在则使用 cmd 带参数设置当前系统时间为 1981-01-12 .
病毒释放文件后在 system32 文件夹下创建批处理文件,并创建进程运行,删除自身:
:try
del "病毒源文件(释放源)"
if exist "病毒源文件(释放源)" goto try
del %0
创建线程查找窗口标题名为"IE 执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手 - IE防漏墙"窗口.如发现,则获取其窗口的"允许执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下).
后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:
http:/ /www.8**ao***mm.bj.cn/123.exe
http:/ /www.8**ao***mm.bj.cn/124.exe
http:/ /www.8**ao***mm.bj.cn/125.exe
http:/ /www.8**ao***mm.bj.cn/126.exe
http:/ /www.8**ao***mm.bj.cn/127.exe
http:/ /www.8**ao***mm.bj.cn/128.exe
下载后的病毒文件全部保存在 system32 文件夹下.
在系统上的每个磁盘下创建 autorun.inf 文件,并把病毒文件复制一份至磁盘根目录下. autorun.inf 文件指向病毒文件 Dser.exe
病毒通过创建注册表系统服务实现开机自启动:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown ImagePath "%systemroot%system32Dser.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown DisplayName "AntiVirus"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown ObjectName "LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinServerDown Description "网络安全向导"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Service "WinServerDown"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Legacy dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 Class "LegacyDriver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WINSERVERDOWN�000 DeviceDesc "AntiVirus"
回复
评论病毒
