Win32.Troj.Autorun.xs.69693
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
69693
影响系统:
WinNTWin2000WinXP
病毒行为:
这是一个通过U盘进来传播的病毒。病毒会在客户计算机上的每个盘下生成病毒文件auto.exe和病毒辅助文件autorun.inf,只要客户通过双击方式进入盘,就会运行autorun.inf指向的病毒文件。病毒会从网上下载大量的木马程序保存在客户计算机上并运行。
病毒在客户计算机上运行后,会把自身复制至
%windir%\system32\A71F0BB8.EXE(病毒名字随机)
并生成病毒dll文件
%windir%\system32\A6B96C60.DLL(病毒名字随机)
然后通过创建批处理删除病毒自身。
病毒会在客户计算机上的每个盘下生成文件auto.exe(%windir%\system32\A71F0BB8.EXE的复制)与autorun.inf文件,autorun.inf文件指向auto.exe,只要客户通过双击方式进入盘,就会运行此病毒文件。
病毒DLL文件会注入多个进程。
枚举客户计算机上的进程,如发现avp.exe则通过设置客户计算机上的系统时间为2005年使"卡巴斯基"过期无法使用。
病毒会读取指定的网址上的txt文件以获取木马下载地址,并下载木马程序保存至客户计算机上运行。
病毒创建注册表服务以达到病毒自身开机自启动
Key:HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\F87FA530(服务名字随机)
Description:"A6B96C60"
ImagePage:"%windir%\system32\A71F0BB8.EXE-k"
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F87FA530
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\F87FA530
Description:"A6B96C60"
ImagePage:"%windir%\system32\A71F0BB8.EXE-k"
病毒修改注册表禁用客户计算机上的"显示所有隐藏文件"和"系统自动更新"两个功能。
