病毒別名
處理時間:2007-03-27 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是一個Downloader,能下載並運行黑客事先指定的檔案。
1:拷貝檔案
病毒運行後,會把自己拷貝到系統目錄下
%Window%\\SVCHOST.EXE
%Window%\\mdm.exe (Win32.Troj.Agent.hc)
2:添加註冊表
病毒修改註冊表不顯示隱藏檔案
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced
Hidden = "0x02"
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue = "0x00"
3:添加autorun
病毒會把自己拷貝到每個分區的根目錄下,命名為RavMon.exe
並在Aurorun.inf裡面添加以下內容
open=RavMon.exe
shell\open=打開(&O)
shell\open\Command=RavMon.exe
shell\explore=資源管理器(&X)
shell\explore\Command="RavMon.exe -e"
使病毒體能自動運行
.
4:下載程式
SVCHOST.EXE會每隔3秒運行一次MDM.exe
MDM.exe會下載並運行黑客事前指定的檔案
