请输入您要查询的百科知识:

 

词条 Win32.Troj.LowZones.b
释义

病毒介绍

病毒别名:Trojan.WinREG.LowZones.b[AVP]

处理时间:

威胁级别:★★

中文名称:

病毒类型:木马

影响系统:Win9x / WinNT

病毒行为

该病毒是一个自解压并后台运行的病毒,它释放一个批处理文件,一个注册表脚本文件和一个网页文件。然后它运行运行其中的批处理文件,将释放的注册表脚本文件导入注册表,修改IE网络安全设置,使得打开释放的网页文件后下载病毒文件不被发觉。它降低了IE的网络安全设置,为网页病毒打开了方便之门;它还会下载许多其他病毒,使用户面临病毒肆虐的危机。

行为一

1.这是一个自解压并后台运行的病毒,它首先释放3个文件:

C:\\crash.bat

C:\\crash.REG

C:\\crash.html

然后运行其中的批处理文件crash.bat,该文件将注册表脚本文件crash.REG导入注册表,修改IE网络安全设置,使得打开crash.html后下载病毒文件不被发觉。

下载文件:

WinAdAlt.exe(Win32.Troj.SyncroAd)

WinAdCtl.exe(Win32.Troj.f)

180ax.exe (Win32.Troj.Adware180SA.f)

mmups.exe

suploads.exe

180ax.log

ide21201.vxd

行为二

2.修改注册表:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0

"1004"=dword:00000000

"1201"=dword:00000000

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1

"1004"=dword:00000000

"1201"=dword:00000000

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2

"1004"=dword:00000000

"1201"=dword:00000000

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3

"1004"=dword:00000000

"1201"=dword:00000000

"1406"=dword:00000000

"1A04"=dword:00000000

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4

"1004"=dword:00000000

"1201"=dword:00000000

"1001"=dword:00000000

"1200"=dword:00000000

"1400"=dword:00000000

"1606"=dword:00000000

"1607"=dword:00000000

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\ProtocolDefaults

"http"=dword:00000000

改变IE网络安全设置。

行为三

添加启动项:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"180ax"="%SystemRoot%\\180ax.exe"

"loads.exe"="%SystemRoot%\\suploads.exe"

"mediamotor.exe"="C:\\WINNT\\mmups.exe"

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 10:51:10