| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.AutoRun.sd.184320

来源:互联网  宽屏版  评论
2008-08-14 23:03:48

病毒名称(中文):

干扰者下载器

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

184320

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。由于该病毒会注入很多DLL到系统进程中,所以会导致系统运行不稳定。病毒还会逃避杀毒软件的查杀。

病毒运行后会删除自身

1、释放文件

C:\WINDOWS\system32\65BE9A60.EXE这个是病毒文件自身的拷贝

C:\WINDOWS\system32\6EB5FBA0.DLL

这些文件名都是根据用户记得的不同磁盘分区的分区信息计算出来的

在每个磁盘分区的根目录下释放文件

C:\auto.exe这个为病毒自身的拷贝

C:\autorun.inf

2、修改注册表

添加服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Typedword:00000010

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Startdword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ErrorControldword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ImagePath"C:\WINDOWS\system32\65BE9A60.EXE-k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260DisplayName"ECCA8260"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260ObjectName"LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260Description"6EB5FBA0"

禁止显示隐藏文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

3、病毒的服务程序

病毒的的服务将6EB5FBA0.DLL这个文件加载到winlogon,svchost.exe进程里。6EB5FBA0.DLL从网上下载一个配置文件,并该文件里的病毒URL列表下载病毒并运行

下载的病毒有传奇盗号木马。病毒作者可以更改病毒的配置文件,从而是病毒能下载病毒作者希望的其他病毒。

4、6EB5FBA0.DLL还会定期检查每个磁盘根目录下的auto.exe和autorun.inf是否存在,注册表服务项是否存在,假如不存在就马上重新生成

5、关闭用户系统的WINDOWS防火墙,关闭常用的杀毒软件

6、该病毒在代码里面加入了大量的垃圾代码,干扰分析人员。

病毒名称(中文): 干扰者下载器 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 184320 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个下载器。该病毒运行后,会立即从网络上下载大量的病毒,盗取用户的游戏帐号。由于该病毒会注入很多DLL到系统进程中,所以会导致系统运行不稳定。病毒还会逃避杀毒软件的查杀。 病毒运行后会删除自身 1、释放文件 C:\WINDOWS\system32\65BE9A60.EXE这个是病毒文件自身的拷贝 C:\WINDOWS\system32\6EB5FBA0.DLL 这些文件名都是根据用户记得的不同磁盘分区的分区信息计算出来的 在每个磁盘分区的根目录下释放文件 C:\auto.exe这个为病毒自身的拷贝 C:\autorun.inf 2、修改注册表 添加服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Type dword:00000010 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Start dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ErrorControl dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ImagePath "C:\WINDOWS\system32\65BE9A60.EXE-k" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 DisplayName "ECCA8260" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 ObjectName "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ECCA8260 Description "6EB5FBA0" 禁止显示隐藏文件 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 3、病毒的服务程序 病毒的的服务将6EB5FBA0.DLL这个文件加载到winlogon,svchost.exe进程里。6EB5FBA0.DLL从网上下载一个配置文件,并该文件里的病毒URL列表下载病毒并运行 下载的病毒有传奇盗号木马。病毒作者可以更改病毒的配置文件,从而是病毒能下载病毒作者希望的其他病毒。 4、6EB5FBA0.DLL还会定期检查每个磁盘根目录下的auto.exe和autorun.inf是否存在,注册表服务项是否存在,假如不存在就马上重新生成 5、关闭用户系统的WINDOWS防火墙,关闭常用的杀毒软件 6、该病毒在代码里面加入了大量的垃圾代码,干扰分析人员。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有