基本介紹
- 中文名:資料夾下載器36864
- 外文名:Security.exe
- 病毒類型:木馬下載器
- 病毒長度:36864
病毒名稱(中文):資料夾下載器36864
病毒別名:威脅級別:★☆☆☆☆
病毒類型:木馬下載器
病毒長度:36864
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
1.程式運行後,生成檔案
%system32%\Security.exe
2.病毒修改註冊表鍵值:
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
鍵值:DisplayName
指向數據:Performance Logs and Ale
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
鍵值:ImagePath
指向檔案:%systemroot%\system32\Security.exe
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
鍵值:Description
指向數據:Intel Registry Service
項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
鍵值:Start
指向數據:02
3.木馬執行後,檢測%system32%\drivers目錄下是否存在驅動檔案klif.sys,如果存在則以命令行的方式修改系統時間,使部分防毒軟體不能正常使用;
通過使用相關函式啟動被註冊的服務;通過相關API函式運行Security.exe;
4.Security.exe運行後,開啟一執行緒關閉“IE 執行保護”與“瑞星卡卡上網安全助手 - IE防漏牆”的安全提示;開啟一IEXPLORE.EXE進程,申請記憶體空間將
釋放隱藏病毒檔案和autorun.inf,使用Windows自動播放功能來傳播病毒;以批處理的方式將病毒原檔案刪除。
