Downloader

Downloader

Downloader.Admincash 是一個特洛伊木馬程式,它感染Windows系統中安全設定較低的Explorer.exe,同時下載Adware和撥號器。

病毒簡介

【病毒名稱】Downloader

【病毒類型】 綁架你的瀏覽器

中毒特徵

【中毒症狀】

當Downloader.Admincash 運行時,它執行以下操作:

創建如下互斥實例,以確保同時只有一個木馬運行:

BeavisMutex

ButtheadMutex

將自身拷貝為 %System%\soft.exe 和 %System%\[隨機生成檔案名稱].exe

提示: %System% 是系統目錄變數,默認情況下它是C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32(Windows NT/2000),或 C:\Windows\System32 (Windows XP).

創建如下註冊表項:

HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

將下述鍵值:

"Web Service" = "%System%\[random file name].exe"

添加到如下註冊表項:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

添加註冊表鍵值

"run" = "%System%\soft.exe"

到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Windows

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Windows

添加註冊表鍵值:

"DisableSR" = "0x00000001"

到:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\SystemRestore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\SystemRestore

添加鍵值:

"EnableFirewall" = "0x00000001"

到註冊表項:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\

WindowsFirewall\DomainProfile

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

WindowsFirewall\DomainProfile

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\

WindowsFirewall\StandardProfile

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

WindowsFirewall\StandardProfile

以用於禁用Windows 的Windows Firewall。

添加鍵值:

"NoAutoUpdate" = "0x00000001"

"AUOptions" = "0x00000001"

到註冊表項:

HKEY_CURRENT_USER\Software\Policies\Microsoft\

Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\

Windows\WindowsUpdate\AU

以禁用Windows 的自動更新。

添加註冊表鍵值:

"FirewallDisableNotify" = "0x00000001"

"UpdatesDisableNotify" = "0x00000001"

"AntiVirusDisableNotify" = "0x00000001"

到註冊表項:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\

Security Center

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Security Center

將安全中心的三項設定均設為禁用

創建如下檔案:

%Windir%\explorer.new

%Windir%\wininit.ini

提示: %Windir% 表示 Windows 安裝目錄,默認情況下是C:\Windows 或 C:\Winnt.

感染%Windir%\explorer.exe 檔案。

下載一些 adware 和撥號器程式,用途嘛……不必多說了吧。

相關詞條

相關搜尋

熱門詞條

聯絡我們