伪装进程下载器208896
病毒行为:
这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
1.程序运行后,生成文件
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507\index.dat
并且修改IE缓冲区中的文件.
2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、
internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下
相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows 文件保护”的窗口,若找到则通过API函
数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数
InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运
行;破坏系统和盗取帐号信息。
3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。
这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
1.程序运行后,生成文件
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507
C:\Documents and Settings\fish\Local Settings\History\History.IE5\MSHist012008050620080507\index.dat
并且修改IE缓冲区中的文件.
2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、
internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下
相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows 文件保护”的窗口,若找到则通过API函
数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数
InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运
行;破坏系统和盗取帐号信息。
3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。
[img]http://img.bbs.zbgl.net/attachments/month_1010/10101318439107986370b444e9.gifimg]CHINA我用热血捍卫你。