名詞解釋
Win32.Troj.Downloader.dl
病毒別名: 處理時間:2007-04-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是一個病毒下載器,它能下載木馬種植者指定的地址,它還能通過區域網路共享傳播,
建議用戶要設定Windows的登錄密碼,並不能過於簡單。
病毒行為
1:拷貝檔案
病毒運行後,會把自己拷貝到系統目錄裡面
%system%\\servet.exe
並加上隱藏屬性,之後自刪除。
2:載入服務
病毒會註冊一個名為WindowsDown的服務,指向病毒體,
使病毒能以服務的形式隨系統啟動。
3:下載程式
病毒把自己注入IE的進程,然後把IE的Contex內容改寫為病毒體的下載代碼,
使IE直接運行病毒體的下載代碼,用戶用進程工具並不會發現IE注入前後的變化。
病毒下載如下程式:
http://www.***mm.com/down1/1.exe
http://www.***mm.com/down1/2.exe
http://www.***mm.com/down1/3.exe
http://www.***mm.com/down1/4.exe
http://www.***mm.com/down1/5.exe
http://www.***mm.com/down1/6.exe
http://www.***mm.com/down1/7.exe
http://www.***mm.com/down1/8.exe
http://www.***mm.com/down1/9.exe
http://www.***mm.com/down1/10.exe
這些檔案是遊戲木馬和灰鴿子病毒,使用戶的機器染上更多的病毒。
4:通過區域網路感染
病毒會用WNetOpenEnum函式枚舉區域網路內的其它機器,並嘗試用空密碼登錄,
一但登錄成功,則把自己拷貝到遠程機器的C糟根目錄下,並添加autorun.ini檔案,
遠程機器一但雙擊打開C糟的分區時,病毒就會感染目標機器,而受感染的目標機
就會找其它密碼的機感染,如此循環,消耗了網路資源。
