作者：king

【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中，执行秘密下载。

病毒名称(中文)：武装下载器69632

威胁级别：★★☆☆☆

病毒类型：木马下载器

病毒长度：69632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。

1.关闭系统错误报告服务(ERSvc)：

修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk，键为0。

2.修改注册表项，隐藏文件

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL

键值："CheckedValue"=dWord:00000000。　　　　

3.修改日期：

修改系统日期为2005年。

4.创建c:/autorun.inf 文件。

[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe

5.修改注册表、新建服务，并以服务的方式达到随机启动的目的：

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/dd33gsd2键值 : 字串 : "ImagePath"="C:/WINDOWS/system32/dd33gsd2.exe -k"服务名称： dd33gsd2显示名称： dd33gsd2描述： dd33gsd2可执行文件的路径： C:/WINDOWS/system32/dd33gsd2.exe启动方式：自动

6.查找对话框窗口，判断窗口类是否为"Button"，窗口名为"是(&Y)"，如果是则向该窗口发送左键按下消息，以关闭该窗口。

7.查找是否存在KAVStart进程，如果存在则向其"操作"菜单发送"退出"命令。

8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。

(责任编辑：李磊)

标签： 木马