Win32.TrojDownloader.Winlagons.gi

病毒名称(中文):

蓝屏木马下载器36864

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

36864

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载器程序。该程序会关闭一些常见的杀毒软件和安全辅助软件，并修改IE首页内容，启动IE从木马种植者指定网址下载别的木马。随着被下载到电脑中的木马越来越多，系统将无法承受庞大的资源占用，几分钟后，它就可能崩溃。

1.程序运行后，生成文件

%system32%\winlugan.exe

2.程序会修改文件

%DocumentsandSettings%\LocalService\Cookies\index.dat

%system32%\wbem\Repository\FS\INDEX.BTR

%system32%\wbem\Repository\FS\MAPPING.VER

%system32%\wbem\Repository\FS\MAPPING1.MAP

%system32%\wbem\Repository\FS\OBJECTS.DATA

%system32%\wbem\Repository\FS\OBJECTS.MAP

2.在注册表中添加了注册项，如下：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent

启动项名:@对应值:"1GoogleOnlineSearchService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1GoogleOnlineSearchService

启动项名:DisplayName对应值:"1GoogleOnlineSearchService"

3.木马会尝试去关闭McAfee，东方微点，奇虎360，AVP，金山毒霸等杀毒软件。

4.木马会自动从下列网址下载大量木马和病毒:

http://5y*rscon**a*t.com/check/tpktskend.php?gjgngb=rtfds&tsk=..

http://5y*rscon**a*t.com/check/tpknlkpebckd.php

http://5y*rscon**a*t.com/check/tpktskr2.php