| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Autorun.56832

来源:互联网  宽屏版  评论
2008-08-14 23:01:02

病毒名称(中文):

杀软封印下载器

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

56832

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个病毒下载器,它可通过U盘传播。该病毒运行后会修改用户的计算机配置和IE浏览器的数据,从网络上下载大量恶意软件,并禁止用户访问任何与杀毒及系统安全有关的网页。

一、病毒运行后会产生一个名为TxHMoU的进程

1、该进程监控注册表和文件,防止病毒的注册表项和病毒文件被删除或修改

2、该进程从网上下载大量的病毒

3、当用户访问一些带“杀毒”,“瑞星”之内要害词的网页时,病毒会将IE关闭

4、由于监控文件和注册表的修改,消耗了系统的大量资源,降低电脑运行速度

二、释放文件

1、拷贝自身到C:\WINDOWS\system32\TxHMoU.Exe

2、在每个盘的根目录释放

AUToRUN.Inf

soS.Exe

比如在我机器上的情况如下所示

C:\AUToRUN.Inf

C:\soS.Exe

C:\WINDOWS\system32\AUToRUN.Inf

D:\AUToRUN.Inf

D:\soS.Exe

E:\AUToRUN.Inf

E:\soS.Exe

3、下载配置文件

IE.txt下载后命名为FSEb.COM,记录了IE主页的URL,病毒会将IE主页修改为此URL

table.txt下载后命名为FSEx.COM,记录了一些网页的要害词,假如用户所访问的网页包含有这些要害词病毒会关闭IE

url.txt记录了病毒要下载的病毒的URL

三、修改注册表

1、添加注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

crsss"C:\WINDOWS\system32\TxHMoU.Exe"

2、禁用任务治理器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgrdword:00000001

3、禁止自动升级

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate

DisableWindowsUpdateAccessdword:00000001

4、禁止显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValuedword:00000000

5、修改IE主页

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

StartPage"http://m**n.9**k.com"

6、禁止用户修改IE主页

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

HomePagedword:00000001

7、当用户访问包含以下要害字的网页时,IE会被关闭

360safe,木马,木馬,病毒,杀毒,殺毒,查毒,防毒,反病毒,专杀,專殺,卡巴,江民,瑞星,卡卡社区,

金山毒霸,毒霸,金山,社区,360安全,恶意软件,流氓软件,举报,报警,杀软,殺軟,防駭,微点,卡巴斯基,

kaspersky,rising,瑞星,诺顿

病毒名称(中文): 杀软封印下载器 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 56832 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个病毒下载器,它可通过U盘传播。该病毒运行后会修改用户的计算机配置和IE浏览器的数据,从网络上下载大量恶意软件,并禁止用户访问任何与杀毒及系统安全有关的网页。 一、病毒运行后会产生一个名为TxHMoU的进程 1、该进程监控注册表和文件,防止病毒的注册表项和病毒文件被删除或修改 2、该进程从网上下载大量的病毒 3、当用户访问一些带“杀毒”,“瑞星”之内要害词的网页时,病毒会将IE关闭 4、由于监控文件和注册表的修改,消耗了系统的大量资源,降低电脑运行速度 二、释放文件 1、拷贝自身到C:\WINDOWS\system32\TxHMoU.Exe 2、在每个盘的根目录释放 AUToRUN.Inf soS.Exe 比如在我机器上的情况如下所示 C:\AUToRUN.Inf C:\soS.Exe C:\WINDOWS\system32\AUToRUN.Inf D:\AUToRUN.Inf D:\soS.Exe E:\AUToRUN.Inf E:\soS.Exe 3、下载配置文件 IE.txt下载后命名为FSEb.COM,记录了IE主页的URL,病毒会将IE主页修改为此URL table.txt下载后命名为FSEx.COM,记录了一些网页的要害词,假如用户所访问的网页包含有这些要害词病毒会关闭IE url.txt记录了病毒要下载的病毒的URL 三、修改注册表 1、添加注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crsss"C:\WINDOWS\system32\TxHMoU.Exe" 2、禁用任务治理器 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgrdword:00000001 3、禁止自动升级 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate DisableWindowsUpdateAccessdword:00000001 4、禁止显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValuedword:00000000 5、修改IE主页 HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main StartPage"http://m**n.9**k.com" 6、禁止用户修改IE主页 HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel HomePagedword:00000001 7、当用户访问包含以下要害字的网页时,IE会被关闭 360safe,木马,木馬,病毒,杀毒,殺毒,查毒,防毒,反病毒,专杀,專殺,卡巴,江民,瑞星,卡卡社区, 金山毒霸,毒霸,金山,社区,360安全,恶意软件,流氓软件,举报,报警,杀软,殺軟,防駭,微点,卡巴斯基, kaspersky,rising,瑞星,诺顿
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有