作者:king
【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中,执行秘密下载。
病毒名称(中文):武装下载器69632
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:69632
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中,执行秘密下载。同时,该木马会试图关闭系统自带的错误报告系统和部分杀毒软件,防止用户对它进行查杀。
1.关闭系统错误报告服务(ERSvc):
修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk,键为0。
2.修改注册表项,隐藏文件
|
键值:"CheckedValue"=dWord:00000000。
3.修改日期:
修改系统日期为2005年。
4.创建c:/autorun.inf 文件。
|
5.修改注册表、新建服务,并以服务的方式达到随机启动的目的:
|
6.查找对话框窗口,判断窗口类是否为"Button",窗口名为"是(&Y)",如果是则向该窗口发送左键按下消息,以关闭该窗口。
7.查找是否存在KAVStart进程,如果存在则向其"操作"菜单发送"退出"命令。
8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。
(责任编辑:李磊)
标签: