病毒進入系統後,首先將自己的病毒檔案ridiap080124.exe複製至%WINDOWS%\system32\目錄下,
基本介紹
- 中文名:廣告宣傳單983040
- 外文名:Win32.Troj.Autorun.ex.983040
- 威脅級別:★
- 類型:電腦病毒
“廣告宣傳單983040”(Win32.Troj.Autorun.ex.983040) 威脅級別:★
並在系統盤中生成四個病毒檔案,分別是%WINDOWS%\目錄下的ie.ini,%Documents and Settings%\All Users\「開始」選單\程式\啟動\目錄的word.lnk,%WINDOWS%\system32\目錄下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。釋放完檔案後,病毒就建立批處理程式,把自己的原始檔案刪除,使用戶無法發現病毒源。
病毒會利用word.lnk捷徑指向病毒主檔案ridiap080124.exe來達到開機啟動,然後查找“瑞星”和“卡巴斯基”等的警告視窗,如發現則模擬傳送按鈕訊息跳過查殺。同時還注入系統桌面的進程iexplorer.exe,在進程中查找並關閉“瑞星”、“卡巴斯基”、“360安全衛士”等安全軟體的進程。
解決掉安全軟體後,病毒嘗試將自身偽裝成Browser Helper Objects的進程(微軟IE瀏覽器對第三方程式設計師開放互動接口的業界標準),並將自己添加到IE保護工具白名單中,刪除系統中用於記錄網址的hosts檔案,為自己接下來的破壞行為鋪平道路。
如順利完成以上工作,病毒便連線木馬種植者指定的地址,獲取一份網址信息,自動登