Win32.Troj.DownLoaderT.ib.997376是一個下載者木馬,它採用覆蓋感染的方式感染系統explorer.exe檔案以達到隨系統啟動而啟動,並將“Windows檔案保護”的對話框視窗隱藏起來。它還會修改系統時間,使依賴系統時間進行激活和升級得防毒軟體失效。
基本介紹
- 外文名:Win32.Troj.DownLoaderT.ib.997376
- 病毒類型:木馬下載器
- 病毒長度:997376
- 影響系統:Win9x、Me、NT、2000、XP、2003
- 威脅級別:★★☆☆☆
病毒行為
1.程式運行之後會首先調用GetModuleFileNameA獲取自己的完整路徑以得到自身的檔案名稱。
2.判斷自己的檔案名稱是否為下面幾個檔案中的一個
conime.exe,internat.exe,ctfmon.exe,explorer.exe
3.調用GetFileAttributes判斷%systemRoot%\system32\dllcache中同名的檔案是否存在,如果存在則調用WinExec將%systemRoot%\system32\dllcache中對應的程式調用啟動。
4.創建執行緒,調用FindWindowA循環查找視窗。如果找到WindowsName為"Windows檔案保護",WindowsClass名為"#32770"的視窗則調用ShowWindow隱藏該視窗。
6.連線http://baidu****.com/list.txt下載一個文本,該文本為要下載的病毒列表
而後該程式會按照該列表中的網址下載病毒並運行。
7.根據自身版本號判斷自己在網上是否有新版本,如果有新版本的話則下載並運行