Win32.Troj.Autorun.xs.69693

病毒行为:

这是一个通过U盘进来传播的病毒。病毒会在客户计算机上的每个盘下生成病毒文件 auto.exe 和 病毒辅助文件 autorun.inf,只要客户通过双击方式进入盘,就会运行 autorun.inf 指向的病毒文件。病毒会从网上下载大量的木马程序保存在客户计算机上并运行。

病毒在客户计算机上运行后,会把自身复制至

%windir%\\system32\\A71F0BB8.EXE (病毒名字随机)

并生成病毒 dll 文件

%windir%\\system32\\A6B96C60.DLL (病毒名字随机)

然后通过创建批处理删除病毒自身。

病毒会在客户计算机上的每个盘下生成文件 auto.exe(%windir%\\system32\\A71F0BB8.EXE 的复制) 与 autorun.inf 文件,autorun.inf 文件指向 auto.exe,只要客户通过双击方式进入盘,就会运行此病毒文件。

病毒 DLL 文件会注入多个进程。

枚举客户计算机上的进程,如发现 avp.exe 则通过设置客户计算机上的系统时间为 2005 年使"卡巴斯基"过期无法使用。

病毒会读取指定的网址上的 txt 文件以获取木马下载地址,并下载木马程序保存至客户计算机上运行。

病毒创建注册表服务以达到病毒自身开机自启动

Key:HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet\\Services\\F87FA530 (服务名字随机)

Description:"A6B96C60"

ImagePage:"%windir%\\system32\\A71F0BB8.EXE -k"

Key:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_F87FA530

Key:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\F87FA530

Description:"A6B96C60"

ImagePage:"%windir%\\system32\\A71F0BB8.EXE -k"

病毒修改注册表禁用客户计算机上的"显示所有隐藏文件"和"系统自动更新"两个功能。