Win32.Troj.AutoRunT.ad.15598是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。
病毒名称(中文):AUTO病毒15598
威胁级别:★☆☆☆☆
病毒类型:木马下载器病毒
长度:15598
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。
然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。
这是一个下载者病毒,通过创建系统服务实现开机自启动。从多个网址上下载病毒文件,并保存在系统上执行。
通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作,如发现卡巴文件则使用 cmd 的 date 命令修改系统日期。
在系统上的每个磁盘下生成 autorun.inf 文件,并指向病毒文件(把 systemroot\system32\Dser.exe 复制一份至磁盘根目录下)。
病毒运行后释放以下病毒文件:
%systemroot%\system32\Dser.exe (文件属性为“隐藏”和“系统”)
判断系统上是否存在 %systemroot%\system32\drivers\klif.sys 文件,如存在则使用 cmd 带参数设置当前系统时间为 1981-01-12。
病毒释放文件后在 system32 文件夹下创建批处理文件,并创建进程运行,删除自身:
:try del "病毒源文件(释放源)" if exist "病毒源文件(释放源)" goto try del %0
创建线程查找窗口标题名为“IE 执行保护”、“IE执行保护”、“瑞星卡卡上网安全助手-IE防漏墙”窗口。如发现,则获取其窗口的“允许执行”按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下)。
后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:
http:/ /www.8**ao***mm.bj.cn/123.exe http:/ /www.8**ao***mm.bj.cn/124.exe http:/ /www.8**ao***mm.bj.cn/125.exe http:/ /www.8**ao***mm.bj.cn/126.exe http:/ /www.8**ao***mm.bj.cn/127.exe http:/ /www.8**ao***mm.bj.cn/128.exe
下载后的病毒文件全部保存在 system32 文件夹下。在系统上的每个磁盘下创建 autorun.inf 文件,并把病毒文件复制一份至磁盘根目录下。autorun.inf 文件指向病毒文件 Dser.exe。
病毒通过创建注册表系统服务实现开机自启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinServerDown HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinServerDown ImagePath "%systemroot% \system32\Dser.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinServerDown DisplayName "AntiVirus" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinServerDown ObjectName "LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ WinServerDown Description "网络安全向导" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\ 0000 Service "WinServerDown" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\ 0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\ 0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\ 0000 DeviceDesc "AntiVirus"
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:塞迪网 作者:佚名