| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.AutoRunT.ad.15598

来源:互联网  宽屏版  评论
2008-08-14 23:06:13

病毒名称(中文):

AUTO病毒15598

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

15598

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。假如用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成autorun.inf文件,扩散自己的传播范围。

这是一个下载者病毒,通过创建系统服务实现开机自启动.

从多个网址上下载病毒文件,并保存在系统上执行.

通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用cmd的date命令修改系统日期.

在系统上的每个磁盘下生成autorun.inf文件,并指向病毒文件.(把systemroot\system32\Dser.exe复制一份至磁盘根目录下)

病毒运行后释放以下病毒文件:

%systemroot%\system32\Dser.exe(文件属性为"隐藏"和"系统")

判定系统上是否存在%systemroot%\system32\drivers\klif.sys文件,如存在则使用cmd带参数设置当前系统时间为1981-01-12.

病毒释放文件后在system32文件夹下创建批处理文件,并创建进程运行,删除自身:

:try

del"病毒源文件(释放源)"

ifexist"病毒源文件(释放源)"gototry

del%0

创建线程查找窗口标题名为"IE执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手-IE防漏墙"窗口.如发现,则获取其窗口的"答应执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下).

后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:

http://www.8**ao***mm.bj.cn/123.exe

http://www.8**ao***mm.bj.cn/124.exe

http://www.8**ao***mm.bj.cn/125.exe

http://www.8**ao***mm.bj.cn/126.exe

http://www.8**ao***mm.bj.cn/127.exe

http://www.8**ao***mm.bj.cn/128.exe

下载后的病毒文件全部保存在system32文件夹下.

在系统上的每个磁盘下创建autorun.inf文件,并把病毒文件复制一份至磁盘根目录下.autorun.inf文件指向病毒文件Dser.exe

病毒通过创建注册表系统服务实现开机自启动:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownImagePath"%systemroot%\system32\Dser.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownDisplayName"AntiVirus"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownObjectName"LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDownDescription"网络安全向导"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Service"WinServerDown"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Legacydword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000Class"LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000DeviceDesc"AntiVirus"

病毒名称(中文): AUTO病毒15598 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 15598 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。假如用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成autorun.inf文件,扩散自己的传播范围。 这是一个下载者病毒,通过创建系统服务实现开机自启动. 从多个网址上下载病毒文件,并保存在系统上执行. 通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用cmd的date命令修改系统日期. 在系统上的每个磁盘下生成autorun.inf文件,并指向病毒文件.(把systemroot\system32\Dser.exe复制一份至磁盘根目录下) 病毒运行后释放以下病毒文件: %systemroot%\system32\Dser.exe (文件属性为"隐藏"和"系统") 判定系统上是否存在%systemroot%\system32\drivers\klif.sys文件,如存在则使用cmd带参数设置当前系统时间为1981-01-12. 病毒释放文件后在system32文件夹下创建批处理文件,并创建进程运行,删除自身: :try del"病毒源文件(释放源)" ifexist"病毒源文件(释放源)"gototry del%0 创建线程查找窗口标题名为"IE执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手-IE防漏墙"窗口.如发现,则获取其窗口的"答应执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下). 后台下载病毒作者指定的病毒网址,下载保存在系统上并执行: http://www.8**ao***mm.bj.cn/123.exe http://www.8**ao***mm.bj.cn/124.exe http://www.8**ao***mm.bj.cn/125.exe http://www.8**ao***mm.bj.cn/126.exe http://www.8**ao***mm.bj.cn/127.exe http://www.8**ao***mm.bj.cn/128.exe 下载后的病毒文件全部保存在system32文件夹下. 在系统上的每个磁盘下创建autorun.inf文件,并把病毒文件复制一份至磁盘根目录下.autorun.inf文件指向病毒文件Dser.exe 病毒通过创建注册表系统服务实现开机自启动: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown ImagePath "%systemroot%\system32\Dser.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown DisplayName "AntiVirus" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown ObjectName "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown Description "网络安全向导" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Service "WinServerDown" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 DeviceDesc "AntiVirus"
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有