病毒别名:
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:35840
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个下载者木马。通过修改时间的方法使卡吧失效,15s后恢复正常时间。同时将自身复制到system32目录下,注册为系统服务,并且伪装成卡巴斯基7.0的服务程序。程序运行后会后台下载大量的木马病毒文件并运行。会将自身复制到其他盘符的根目录下并创建autorun.inf。
1.修改
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
项的键值为0x0,开启所有驱动器的自动播放。
而后将自身复制到各个盘符的根目录下,并创建anturun.inf文件。
2.搜索如下文件
%systemRoot%\system32\drivers/klif.sys(为卡巴斯基的驱动)
假如找到则修改系统时间为1981-01-12,导致卡巴斯基失效。15s之后再将系统时间改为正常时间。
3.把自身复制到%systemRoot%\system32\sky.exe.改属性为系统隐藏文件
并试图删除卡巴斯基的服务。
4.将sky.exe添加为系统服务并伪装成卡巴斯基的服务程序。
添加的服务的注册表项为:
[HEKY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Kaspersky 7.0]
"DesplayName" @="监视系统安全设置和配置"
"Description" @="Preformance Logs and Ale"
"ErrorControl" @=0x0
"ImagePath" @="%systemRoot%\system32\sky.exe"
"ObjectName" @="LocalSystem"
"Stare" @=0x02
"Type" @=0x110
5.从命令行运行%systemRoot%\system32\sky.exe
6.创建一个批处理文件%systemRoot%\system32\Deledomn.bat,运行删除原木马文件。
sky.exe行为:
运行后会先从http://www.***.com/txt/***.txt下载一个文本文件,其中包含了需要下载的病毒列表。
然后按照病毒列表将其中的文件一一下载并运行。