Win32.Troj.Downloader.r
病毒别名: 处理时间:2006-12-06 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是个下载器,会从网上下载一个灰鸽子受控端到用户的计算机并安装,从而使用户计算机被控制。
1、从网上下载一个灰鸽子服务端到临时文件夹:TempHEART.exe,并执行。
2、该临时文件将自身复制为:%Program Files%Common FilesMicrosoft SharedMSINFOServer4.exe,然后自删除。
3、该灰鸽子服务端会创建一个服务
服务名:Windows_rejoice
描述 : 提供病毒扫描服务
服务进程:%Program Files%Common FilesMicrosoft SharedMSINFOServer4.exe
相应的注册表项如下:
HKLMSystemCurrentControlSetServicesvirusscanType SUCCESS 0x110
HKLMSystemCurrentControlSetServicesvirusscanStart 0x2
HKLMSystemCurrentControlSetServicesvirusscanErrorControl 0x0
HKLMSystemCurrentControlSetServicesvirusscanImagePath "C:Program FilesCommon FilesMicrosoft SharedMSINFOServer4.exe"
HKLMSystemCurrentControlSetServicesvirusscanDisplayName "Windows_rejoice"
HKLMSystemCurrentControlSetServicesvirusscanSecuritySecurity 01 00 14 80 90 00 00 00 ...
HKLMSystemCurrentControlSetServicesvirusscanObjectName "LocalSystem"
HKLMSystemCurrentControlSetServicesvirusscan Key: 0xE1B02A98
HKLMSystemCurrentControlSetServicesvirusscanDescription "提供病毒扫描服务"