基本介紹
- 中文名:Win32.Troj.Dropper.vn
- 威脅級別:★
- 處理時間:2007-04-27
- 病毒類型:木馬
- 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
1、該病毒會釋放並運行兩個病毒
%SystemRoot%\system32\svch1st.exe
%SystemRoot%\system32\svch2st.exe
2、svch1st.exe病毒運行後生成的檔案
%SystemRoot%\system32\WinIo.sys
%SystemRoot%\system32\WinIo.dll
%SystemRoot%\system32\stdlib.vbs
%SystemRoot%\system32\QMDispatch.dll
%SystemRoot%\system32\hknm.sys
%SystemRoot%\system32\helper.dll
%SystemRoot%\system32\cfgdll.dll
%SystemRoot%\system32\BException.dll
%SystemRoot%\system32\WINIO.VXD
%SystemRoot%\QMDispatch.dll
%SystemRoot%\system32\rename.ini
%SystemRoot%\system32\tqplhn.dll
%SystemRoot%\FFFFSSSS.BAT
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\macroinfo.dat
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\macro0.tmp
%SystemRoot%\system32\mymacro.htm
%SystemRoot%\system32\mymacro.gif
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2
3、svch2st.exe病毒運行後生成的檔案,該病毒是灰鴿子病毒
%SystemRoot%\win.exe
%SystemRoot%\win.DLL
4、svch1st.exe病毒添加驅動
HKLM\System\CurrentControlSet\Services\WINIO
"Type" = "0x1"
HKLM\System\CurrentControlSet\Services\WINIO
"Start" = "0x3"
HKLM\System\CurrentControlSet\Services\WINIO
"ImagePath" = "\??\%SystemRoot%\system32\winio.sys"
HKLM\System\CurrentControlSet\Services\WINIO
"DisplayName" = "WINIO"
5、svch2st.exe病毒添加服務
HKLM\System\CurrentControlSet\Services\System
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\System
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\System
"ImagePath" = "%SystemRoot%\win.exe"
HKLM\System\CurrentControlSet\Services\System
"DisplayName" = "System"
