Win32.Troj.wintime

病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

传染条件:利用网页漏洞下载并运行，或诱使用户运行

发作条件:

系统修改:

1、在系统下生成如下文件：

%System%secure32.txt

%SystemRoot%system.exe

%SystemRoot%system32system32.dll

%SystemRoot%desktop.exe

%SystemRoot% oolbar.exe

%SystemRoot%mstasks1.exe

%SystemRoot%mstasks2.exe

%SystemRoot% est

%SystemRoot%seksdialer.exe

%SystemRoot%system32wintime.exe

%SystemRoot%system32dkdial.exe

%SystemRoot%system32dial32.exe

%SystemRoot%Webi_XX.gif（XX是01和20之间随机数）

%SystemRoot%Webdesktop.html

2、在注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

添加：

"Wintime"="Wintime.exe"

3、在注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

添加：

"ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E}"

4、在注册表

HKEY_CLASSES_ROOTCLSID{0A323FA1-38DE-44EC-B2FA-4002183C143E}InProcServer32

添加：

"默认"="%system%system32.dll"

4、在注册表

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

修改：

"MinLevel"="Code Download"

"Safety Warning Level"="SucceedSilent"

"Security_RunActiveXControls"="0x01000000"

"Security_RunScripts"="0x01000000"

"Trust Warning Level"="No Security"

发作现象:

1、尝试中止如下进程：

MCUPDATE.EXE

CFIAUDIT.EXE

AVXQUAR.EXE

AUTOUPDATE.EXE

AUTOTRACE.EXE

AUTODOWN.EXE

AUPDATE.EXE

NUPGRADE.EXE

UPDATE.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

DRWEBUPW.EXE

LUALL.EXE

AVPUPD.EXE

AVWUPD32.EXE

ATUPDATER.EXE

2、尝试通过调制解调器拨打国际长途，使受感染机器，交付高昂的电话费。

特别说明: