Win32.PSWTroj.AutoRun.yz

王朝system·作者佚名  2008-08-14
宽屏版  字体: |||超大  

病毒名称(中文):

Auto下载者18988

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

18988

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载者木马。它运行后复制自身到系统文件夹,并在各个磁盘分区中添加Autorun病毒。病毒会从网络下载其他病毒,对系统造成破坏。它还会监控金山毒霸的警告框,假如发现弹出则关闭。

1.复制文件:

%sys32dir%\4015D32C.DLL

%sys32dir%\4015D32C.EXE

上述两个文件为随机文件名。

另外,还在每个磁盘分区根目录下创建Autorun,即创建以下两个文件:

auto.exe

autorun.inf

2.添加到到注册表:

添加以下注册表项,注册为系统服务,随系统开机启动:

[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\5445773B]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5445773B]

ImagePath="C:\WINDOWS\system32\4015D32C.EXE-k"

添加以下注册表项,屏蔽开机时“使用最后一次正确的配置”选项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT]

ReportBootOk=dword:00000001

修改以下注册表项,使系统不显示隐藏文件,隐藏自身:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue:dword:00000001->dword:00000000

3.破坏方式

该木马运行后,复制自身到系统文件夹,文件名随机,添加到系统服务并且在各个分区添加Autorun。木马会启动单

独的线程来监控金山毒霸的警告框,假如发现弹出则关闭。另外,创建远程线程注入到winlogon.exe进程,通过注

入的线程从网络下载其他木马或者病毒,进行配合,对系统造成破坏,如盗取用户帐号密码等信息。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
© 2005- 王朝网络 版权所有