Win32.PSWTroj.AutoRun.yz

病毒名称(中文):

Auto下载者18988

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

18988

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载者木马。它运行后复制自身到系统文件夹，并在各个磁盘分区中添加Autorun病毒。病毒会从网络下载其他病毒，对系统造成破坏。它还会监控金山毒霸的警告框，假如发现弹出则关闭。

1.复制文件：

%sys32dir%\4015D32C.DLL

%sys32dir%\4015D32C.EXE

上述两个文件为随机文件名。

另外，还在每个磁盘分区根目录下创建Autorun，即创建以下两个文件：

auto.exe

autorun.inf

2.添加到到注册表：

添加以下注册表项，注册为系统服务，随系统开机启动：

[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\5445773B]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5445773B]

ImagePath="C:\WINDOWS\system32\4015D32C.EXE-k"

添加以下注册表项，屏蔽开机时“使用最后一次正确的配置”选项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT]

ReportBootOk=dword:00000001

修改以下注册表项，使系统不显示隐藏文件，隐藏自身：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue:dword:00000001->dword:00000000

3.破坏方式

该木马运行后，复制自身到系统文件夹，文件名随机，添加到系统服务并且在各个分区添加Autorun。木马会启动单

独的线程来监控金山毒霸的警告框，假如发现弹出则关闭。另外，创建远程线程注入到winlogon.exe进程，通过注

入的线程从网络下载其他木马或者病毒，进行配合，对系统造成破坏，如盗取用户帐号密码等信息。