危险等级:★★★7 [7 d; e$ K2 e' K' r
病毒名称:Worm.Win32.DownLoader.ah% t& S- g/ P( s1 V2 ]4 }" a3 A; Q
截获时间:2008.03.24( X; P$ X% o* t
类型:病毒: ~- b' q* x4 C! c o
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
4 X; j" C( \- u. ^威胁情况:; Y% r. g9 D& z9 O% t
传播级别:中
& L% a8 n2 s& ]) ^5 b" s0 Y+ _( ?清除难度:困难
1 h0 l# h" }- ~* G9 T5 w( \. I破坏力:低
1 }" |# V7 K3 S# G7 k7 C4 F; m: F/ `2 d3 _5 \
病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe,然后添加以下注册表项实现自启动:
7 \0 _" g) K9 e7 C* S6 KHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run' D, }; @: Y* [7 }
"Thundet" = THUNDET.EXE
p, u0 J* k( P. r5 ]4 f1 R 病毒会从http://www.xxx.net/mm/网址下载并运行木马病毒26个程序,同时病毒会感染脚本文件,在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本。
. m1 U# |/ h% X6 o/ Y! { 病毒还会添加以下注册表项实现映像劫持:- A2 K/ u) m/ G' a" P, C
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = 360tray.exe5 }% |$ D% s4 A
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = KMDEVMONSRV.exe
1 T/ R, Z' }; O0 l( W, wHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = VsTskMgr.exe
% M4 T; F; j" w' t9 A7 o2 N 最后病毒会把自己拷贝到各个磁盘下,添加autorun.inf使得用户打开磁盘的同时运行病毒程序。 |
