金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行后,首先解密要使用到的字符串, 然后在%wsys32dir%下生成4位随机字母名的exe文件,执行该文件,这是一个病毒下载器
行为分析:
这是一个类似机器狗的对抗型下载器。它会覆盖系统进程、对抗驱动防火墙软件和部分安全软件,并识别用户是否利用修改盘符的办法躲避感染。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行后,首先解密要使用到的字符串, 然后在%wsys32dir%下生成4位随机字母名的exe文件,执行该文件,这是一个病毒下载器
行为分析:
这是一个类似机器狗的对抗型下载器。它会覆盖系统进程、对抗驱动防火墙软件和部分安全软件,并识别用户是否利用修改盘符的办法躲避感染。
描述:
病毒运行后,首先解密要使用到的字符串,
然后在%wsys32dir%下生成4位随机字母名的exe文件,执行该文件,这是一个病毒下载器
检查进程中是否存在drvanti.exe,这是某种网吧驱动防火墙软件的进程。
如果不存在的话,感染Comcctl32.dll成为启动项,覆写debug.exe为病毒下载器。然后创建自删除。
如果存在的话,继续做下列工作:
检查C盘是否为光盘镜像,可移动驱动器,RAM,等不适合感染的对象,都不是的话,,继续,是的话自删除。
在C:Program FilesHintSoftPubwinClientPatch这个路径下查找HintSecu.sys,找到了,退出,自删除。没有就继续
释放驱动%SystemRoot%system32drivers
tkapi.sys",加载驱动到服务,名为Ntsapi
查找,并调用NtTerminateProcess,结束sbvmond.exe,denter.exe,360tray.exe
调用驱动,穿透还原写磁盘,感染Comcctl32.dll,覆写debug.exe,
修改sprotect.ini,将360安全卫士的安全防御等级降为0
删除释放的驱动文件,删除自身。
感染后comctl32.dll为病毒启动项,在加载时会winexec启动debug.exe,debug.exe为病毒下载器。
下载下来的病毒大多为各类盗号木马。
病毒运行后,首先解密要使用到的字符串,
然后在%wsys32dir%下生成4位随机字母名的exe文件,执行该文件,这是一个病毒下载器
检查进程中是否存在drvanti.exe,这是某种网吧驱动防火墙软件的进程。
如果不存在的话,感染Comcctl32.dll成为启动项,覆写debug.exe为病毒下载器。然后创建自删除。
如果存在的话,继续做下列工作:
检查C盘是否为光盘镜像,可移动驱动器,RAM,等不适合感染的对象,都不是的话,,继续,是的话自删除。
在C:Program FilesHintSoftPubwinClientPatch这个路径下查找HintSecu.sys,找到了,退出,自删除。没有就继续
释放驱动%SystemRoot%system32drivers
tkapi.sys",加载驱动到服务,名为Ntsapi
查找,并调用NtTerminateProcess,结束sbvmond.exe,denter.exe,360tray.exe
调用驱动,穿透还原写磁盘,感染Comcctl32.dll,覆写debug.exe,
修改sprotect.ini,将360安全卫士的安全防御等级降为0
删除释放的驱动文件,删除自身。
感染后comctl32.dll为病毒启动项,在加载时会winexec启动debug.exe,debug.exe为病毒下载器。
下载下来的病毒大多为各类盗号木马。
