金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.TrojDownloader.CodecPack.h.87552
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.首先检查自己是否是在虚拟机里运行,如果是则终止并删除自身。
行为分析:
这是一个下载器程序。它运行后会判断当前是否是在虚拟机里执行,如果是则终止并删除自身,以阻止反病毒厂商的检查。如果是在普通电脑中,则读取指定网页上的病毒下载列表,下载其它病毒并执行。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.首先检查自己是否是在虚拟机里运行,如果是则终止并删除自身。
行为分析:
这是一个下载器程序。它运行后会判断当前是否是在虚拟机里执行,如果是则终止并删除自身,以阻止反病毒厂商的检查。如果是在普通电脑中,则读取指定网页上的病毒下载列表,下载其它病毒并执行。
描述:
1.首先检查自己是否是在虚拟机里运行,如果是则终止并删除自身。测试虚拟机时,通过in eax,dx的一个端口读指令,如果是正常的计算机就会发生异常而在虚拟机中会返回VMXh的字符串来判断。
2.对程序需要的数据进行一些解码操作。
3.获得本机的信息,如磁盘大小,计算机名称等。
4.构造一个http://cod****st.com/file.php?id=%lu&adv=%lu的URL字符串,如http://cod****st.com/file.php?id=1476526253&adv=0,从网页上读取要下载的病毒列表URL。
5.从第四步得到的病毒URL,如http://so****dat.com/advset/setup0.exe下载病毒文件到本机的临时目录,c:Documents and SettingsxxxLocal SettingsTemp,然后执行病毒程序。
1.首先检查自己是否是在虚拟机里运行,如果是则终止并删除自身。测试虚拟机时,通过in eax,dx的一个端口读指令,如果是正常的计算机就会发生异常而在虚拟机中会返回VMXh的字符串来判断。
2.对程序需要的数据进行一些解码操作。
3.获得本机的信息,如磁盘大小,计算机名称等。
4.构造一个http://cod****st.com/file.php?id=%lu&adv=%lu的URL字符串,如http://cod****st.com/file.php?id=1476526253&adv=0,从网页上读取要下载的病毒列表URL。
5.从第四步得到的病毒URL,如http://so****dat.com/advset/setup0.exe下载病毒文件到本机的临时目录,c:Documents and SettingsxxxLocal SettingsTemp,然后执行病毒程序。
回复
评论病毒
