基本介紹
- 中文名:Win32.Troj.Downloader.pv
- 處理時間:2006-08-21
- 威脅級別:★
- 病毒類型:木馬
進程信息,運行描述,
進程信息
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
病毒主要通過網路欺騙或軟體捆綁方式進行傳播。
運行描述
1、病毒運行時將自身複製為以下偽系統正常檔案以迷惑用戶:
%Windir%\system32\mswdm.exe
2、通過添加如下註冊表項使病毒開機後自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"CheckFaultKernel" = %Windir%\system32\mswdm.exe
3、病毒運行時創建一個"WSM-614F0000-08"的互斥對象,用於判斷病毒是過已經運行。
4、病毒首先嘗試通過枚舉系統進程列表找到"SERVICES.EXE"的進程,找到後提升許可權,操作成功則注入下載代碼,
操作失敗則通過查找窗體類名為"Shell_TaryWnd"定位Explorer的進程,然後將下載代碼注入該進程中。
5、網路可用時病毒連線相關網站下載其它病毒。
