Win32.Troj.SmallT.dg.348160
病毒名称(中文):木马下载器348160病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:348160影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个下载器。该程序运行后会马上下载木马,这些木马有的会弹出网页,有的会强制用户安装软件,有的是盗号木马。
该木马会躲避反病毒软件的查杀。
1、释放文件
C:\\WINDOWS\\checkcj.ini
C:\\WINDOWS\\system32\\wincheck071204.dll
C:\\WINDOWS\\system32\\wincheck071204.exe
2、该程序不本身不会添加任何注册表启动项但它下载的大量病毒会在注册表中添加很多启动项。
3、wincheck071204.dll被注入到系统所有进程,wincheck071204.dll运行后会
躲避江明和卡巴的查杀。并从网上下载http://sj.35k.net/m/yx.exe。并运行
4、yx.exe运行后
1>释放文件
C:\\zyDelm.bat
C:\\WINDOWS\\zuoyue16.ini
C:\\WINDOWS\\system\\zyxpRes080131.exe
C:\\WINDOWS\\system32\\inf\\scrsyszy080131.scr
C:\\WINDOWS\\system32\\inf\\scrszyys16_080131.dll
C:\\WINDOWS\\system32\\inf\\svch0st.exe
C:\\WINDOWS\\system32\\lwizysys16_080131.dll
C:\\WINDOWS\\system32\\mwiszyys32_080131.dll
2>添加注册表启动项
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run
zuoyue "C:\\WINDOWS\\system32\\inf\\svch0st.exe C:\\WINDOWS\\system32
3> 下载大量广告程序和其他木马
4、用户感染该病毒后,会不停的弹出网页,和各式各样的软件安装界面要求用户安装软件。
有的软件还会被强制安装在用户计算机上。在进程管理器中可以看到很多病毒的进程。