Win32.Troj.Zdesnado.y

這是一個木馬下載器,用於下載並執行木馬。它是通過讀取兩個網頁配置檔案去下載並運行木馬的。比一般的木馬下載器更加靈活,危害也更大。通過設定4個時鐘,它會每隔一定時間做以下操作:定時修改啟動項,是自己能夠開機運行,並且到指定網址取得配置檔案用來下載新的病毒;定時終止某些進程,可以是反病毒軟體防火牆;定時修改host檔案,使得很多反病毒軟體不能正常升級;定時修改用戶的主頁指向某個網頁,使得用戶打開瀏覽器時首先訪問病毒設定的網頁,從而感染病毒。

概述

病毒別名:Trojan-Downloader.Win32.Zdesnado.y【AVP】
處理時間:
威脅級別:★★
中文名稱
病毒類型:木馬
影響系統:Win9x / WinNT

病毒行為:

這是一個木馬下載器,用於下載並執行木馬。它是通過讀取兩個網頁配置檔案去下載並運行木馬的。比一般的木馬下載器更加靈活,危害也更大。通過設定4個時鐘,它會每隔一定時間做以下操作:定時修改啟動項,是自己能夠開機運行,並且到指定網址取得配置檔案用來下載新的病毒;定時終止某些進程,可以是反病毒軟體防火牆;定時修改host檔案,使得很多反病毒軟體不能正常升級;定時修改用戶的主頁指向某個網頁,使得用戶打開瀏覽器時首先訪問病毒設定的網頁,從而感染病毒。
1.創建互斥體kakogo_cherta_tebe_zdes_nado,防止運行病毒的多個實例。
2.將自身複製到%System%\Software\software.exe,修改檔案%System%\drivers\etc\hosts,在該檔案後面追加一下內容:
127.0.0.1 www.iframedollars.biz
127.0.0.1 iframedollars.biz
127.0.0.1 www.allforadult.com
127.0.0.1 allforadult.com
127.0.0.1 www.vesbiz.biz
127.0.0.1 vesbiz.biz
127.0.0.1 www.aaasexypics.com
127.0.0.1 aaasexypics.com
127.0.0.1 www.virgin-tgp.net
127.0.0.1 virgin-tgp.net
127.0.0.1 www.5sec.biz
127.0.0.1 5sec.biz
127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 www.trendmicro.com
127.0.0.1 conyc.com
下載網頁檔案到:%system%\ysb.exe
創建目錄%SystemRoot%\test
2.修改註冊表:
添加表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Software"="%System%\Software\software.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page"="<變化的值>"
"FlagStop"=dword:1
或者
"FlagInstall"=dword:1
修改表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1001"=dword:47
"Flags"=dword:0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1001"=dword:47
"Flags"=dword:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1001"=dword:0
"Flags"=dword:1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1001"=dword:0
"Flags"=dword:1
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
"Trust Warning Level"="No Security"
"Safety Warning Level"="SucceedSilent"
"CodeDownload"="Yes"
"Security_RunActiveXControls"
"Security_RunScripts"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
"Trust Warning Level"="No Security"
"Safety Warning Level"="SucceedSilent"
"CodeDownload"="Yes"
"Security_RunActiveXControls"
"Security_RunScripts"
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Security
"Trust Warning Level"="No Security"
"Safety Warning Level"="SucceedSilent"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
"http"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
"Trusted"
"CurrentLevel"
"RecommendedLevel"
"MinLevel"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
"Trusted"
"CurrentLevel"
"RecommendedLevel"
"MinLevel"
3.通過設定4個時鐘,它會每隔一定時間做以下操作:定時修改啟動項,是自己能夠開機運行,並且到指定網址取得配置檔案用來下載新的病毒;定時終止某些進程,可以是反病毒軟體防火牆;定時修改host檔案,使得很多反病毒軟體不能正常升級;定時修改用戶的主頁指向某個網頁,使得用戶打開瀏覽器時首先訪問病毒設定的網頁,從而感染病毒。
終止的進程:
ir.exe
intron.exe
printer32.exe
ykyrtws.exe
loadclean.exe
telnet.exe
lpt.exe
systime.exe
toolbar.exe
mstasks1.exe
mstasks2.exe
mstasks3.exe
loadadv.exe

相關詞條

相關搜尋

熱門詞條

聯絡我們