病毒别名:
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:81920
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个下载者病毒,通过修改系统时间使"卡巴斯基"失效.通过查找窗口的方式并模拟发送消息的方式通过某些软件的警告提示.创建注册表服务项达到开机自动运行.从后台下载大量木马程序保存至系统上并运行.
病毒运行后释放以下文件:
%sys32dir%\serdst.exe
运行后通过创建批处理删除自身.
创建线程查找窗口"IE 执行保护"、"IE执行保护",如发现则模拟发送一个点击消息(窗口上的"答应执行").
查找窗口"瑞星卡卡上网安全助手 - IE防漏墙",如发现则模拟发送一个点击消息(窗口上的"答应").
从后台下载大量的木马程序保存在系统上并运行.
在系统上的每个磁盘分区下生成 Autorun.inf,Autorun.inf 指向该同磁盘分区中的病毒文件.(指向的病毒文件可查看 Autorun.inf 里的内容)
查找系统上是否存在 sys32dir\drivers\klif.sys 文件(该文件为卡巴斯基的驱动文件),有则把系统时间设置为 "1981-01-12" 使其失效.
病毒通过创建注册表服务项启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Type dword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ErrorControl dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ImagePath "%sys32dir%\serdst.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn DisplayName "Telephotsgoogle"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdswsdewn Description "为即插即用设备提供支持"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN NextInstance dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Service "Wdswsdewn"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 ConfigFlags dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WDSWSDEWN\0000 DeviceDesc "Telephotsgoogle"