基本介紹
- 外文名:Win32.Troj.wintime
- 威脅級別:★★
- 病毒類型:木馬
- 傳染條件:利用網頁漏洞下載並運行
基本信息,傳播過程,發作現象,
基本信息
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
傳播過程
1、在系統下生成如下檔案:
%System%secure32.txt
%SystemRoot%system.exe
%SystemRoot%system32system32.dll
%SystemRoot%desktop.exe
%SystemRoot% oolbar.exe
%SystemRoot%mstasks1.exe
%SystemRoot%mstasks2.exe
%SystemRoot% est
%SystemRoot%seksdialer.exe
%SystemRoot%system32wintime.exe
%SystemRoot%system32dkdial.exe
%SystemRoot%system32dial32.exe
%SystemRoot%Webi_XX.gif(XX是01和20之間隨機數)
%SystemRoot%Webdesktop.html
2、在註冊表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加:
"Wintime"="Wintime.exe"
3、在註冊表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
添加:
"ShellServiceObjectDelayLoadSystem"="{0A323FA1-38DE-44EC-B2FA-4002183C143E}"
4、在註冊表
HKEY_CLASSES_ROOTCLSID{0A323FA1-38DE-44EC-B2FA-4002183C143E}InProcServer32
添加:
"默認"="%system%system32.dll"
4、在註冊表
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
修改:
"MinLevel"="Code Download"
"Safety Warning Level"="SucceedSilent"
"Security_RunActiveXControls"="0x01000000"
"Security_RunScripts"="0x01000000"
"Trust Warning Level"="No Security"
發作現象
:
1、嘗試中止如下進程:
MCUPDATE.EXE
CFIAUDIT.EXE
AVXQUAR.EXE
AUTOUPDATE.EXE
AUTOTRACE.EXE
AUTODOWN.EXE
AUPDATE.EXE
NUPGRADE.EXE
UPDATE.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
DRWEBUPW.EXE
LUALL.EXE
AVPUPD.EXE
AVWUPD32.EXE
ATUPDATER.EXE
特別說明: