词条 | Win32.Troj.LowZones.b |
释义 | 病毒介绍病毒别名:Trojan.WinREG.LowZones.b[AVP] 处理时间: 威胁级别:★★ 中文名称: 病毒类型:木马 影响系统:Win9x / WinNT 病毒行为该病毒是一个自解压并后台运行的病毒,它释放一个批处理文件,一个注册表脚本文件和一个网页文件。然后它运行运行其中的批处理文件,将释放的注册表脚本文件导入注册表,修改IE网络安全设置,使得打开释放的网页文件后下载病毒文件不被发觉。它降低了IE的网络安全设置,为网页病毒打开了方便之门;它还会下载许多其他病毒,使用户面临病毒肆虐的危机。 行为一1.这是一个自解压并后台运行的病毒,它首先释放3个文件: C:\\crash.bat C:\\crash.REG C:\\crash.html 然后运行其中的批处理文件crash.bat,该文件将注册表脚本文件crash.REG导入注册表,修改IE网络安全设置,使得打开crash.html后下载病毒文件不被发觉。 下载文件: WinAdAlt.exe(Win32.Troj.SyncroAd) WinAdCtl.exe(Win32.Troj.f) 180ax.exe (Win32.Troj.Adware180SA.f) mmups.exe suploads.exe 180ax.log ide21201.vxd 行为二2.修改注册表: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0 "1004"=dword:00000000 "1201"=dword:00000000 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1 "1004"=dword:00000000 "1201"=dword:00000000 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2 "1004"=dword:00000000 "1201"=dword:00000000 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3 "1004"=dword:00000000 "1201"=dword:00000000 "1406"=dword:00000000 "1A04"=dword:00000000 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4 "1004"=dword:00000000 "1201"=dword:00000000 "1001"=dword:00000000 "1200"=dword:00000000 "1400"=dword:00000000 "1606"=dword:00000000 "1607"=dword:00000000 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\ProtocolDefaults "http"=dword:00000000 改变IE网络安全设置。 行为三添加启动项: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "180ax"="%SystemRoot%\\180ax.exe" "loads.exe"="%SystemRoot%\\suploads.exe" "mediamotor.exe"="C:\\WINNT\\mmups.exe" |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。