Win32.Troj.OnlineGameT.bd.65697,(中文):牽狗繩下載器65697,是一個木馬下載器程式。當進入用戶系統後,就下載大量的網遊盜號木馬到電腦中運行。下載列表中還有機器狗等其它下載器的名單。
基本介紹
- 中文名:牽狗繩下載器65697
- 外文名:Win32.Troj.OnlineGameT.bd.65697
- 屬性:木馬下載器程式
- 病毒長度:11441
威脅級別,病毒行為,down.sys內容,
威脅級別
:★☆☆☆☆病毒類型:木馬下載器病毒長度:11441影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為
病毒運行後複製自身到%sys32dir%\systemIdIe.exe中,釋放%sys32dir%\Winsp.dll,%sys32dir%\down.sys.
%sys32dir%\kisawids.sys
添加註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 360Tary
指向%sys32dir%\systemIdIe.exe
systemIdIe.exe運行後會連線命令行 "system32\\rundll32.exe %sys32dir%\Winsp.dll MyEntryPoint"
然後執行命令行,通過rundll32.exe啟動 dll
病毒會連線下列網址www.m****78.cn ; w.qq-uc.cn
down.sys實際為一個病毒下載的設定檔案,內容為下載周期,下載列表,等,病毒讀取down.sys中的內容下載病毒,其下載的病毒中有部分為其他的下載者,如機器狗。
down.sys內容
為:
[file]
open=y
url1=http://www.17**md.cn/down/ko.exe (機器狗)
count=1
[ddcc]
open=y
max=600
timecc=3000
url1=
url2=
.
.
.
count=10 ;注 下載列表的數量
[hosts]
open=y
url=http://www.m****8.cn/ad.jpg
%sys32dir%\Winsp.dll是針對各種防毒軟體,嘗試通過TaskKill , 提升Debug許可權結束,修改系統時間(針對卡巴),修改註冊表(360),等等
