请输入您要查询的百科知识:

 

词条 特洛伊病毒Win32.SillyDl.IQ
释义

Win32.SillyDl.IQ是一种下载并运行其它恶意程序的特洛伊病毒,删除文件并修改hosts文件和其它系统设置。

感染方式:

运行时,Win32.SillyDl.IQ复制到"%System%\\kernels32.exe",并设置以下注册表键值,为了在每次系统时运行病毒:

HKLM\\Software\\Microsoft\\Windows\\CurrentVerion\\Run\\system = "%System%\\kernels32.exe"

HKLM\\Software\\Microsfot\\Window NT\\CurrentVersion\\Winlogon\\Shell = "Explorer.exe %System%\\kernels32.exe"

在Windows 9x系统上,设置以下键值:

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\SystemTools = "%System%\\kernels32.exe"

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害:

下载并运行其它恶意程序

SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意文件。这些文件从%System%目录使用以下文件名运行:

vxh8jkdq1.exe

vxh8jkdq2.exe

vxh8jkdq5.exe

vxh8jkdq6.exe

vxh8jkdq7.exe

被特洛伊下载的恶意程序包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。

终止进程:

如果以下进程正在运行,特洛伊会终止这些进程:

actalert.exe

alchem.exe

bargains.exe

bdl74125.exe

cmd32.exe

exdl.exe

fnnmqi.exe

hosts32.exe

iinstall.exe

installer2.exe

intron.exe

intronet.exe

ir.exe

istsvc.exe

lpt.exe

optimize.exe

powerscan.exe

printer32.exe

ptinter.exe

sidefind.exe

systime.exe

telnet.exe

teur.exe

ttgkirnl.exe

twink64.exe

usb.exe

ykyrtws.exe

WinClt.exe

Winad.exe

删除文件:

特洛伊会删除%System%目录的以下文件:

host32.exe

telnet.exe.tmp

mouse.exe

com.exe

fnnmqi.exe

exdl.exe

exe2bin.exe

exul.exe

fastopen.exe

mscdexnt.exe

printer32.exe

ykyrtws.exe

lpt.exe

ir.exe

intron.exe

intronet.exe

twink32.exe

usb.exe

systime.exe

dktibs.exe

特洛伊会删除%Windows%目录的以下文件:

alchem.exe

adp8027-ISEARCHTECHS.exe

preInsTT.exe

preInsln.exe

preInMPP.exe

注:'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。

还会删除%Temp%目录的以下文件:

bdl74125.exe

installer2.exe

msbb.exe

注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径:"C:\\Documents and Settings\\<username>\\Local Settings\\Temp", 或"C:\\WINDOWS\\TEMP"。

特洛伊还会删除以下文件:

C:\\<filename>.exe

C:\\Program Files\\WebSiteViewer\\<filename>.exe

C:\\Program Files\\WebSiteViewer\\<filename>.dir

这里的<filename>是从"120000"开始一直到"127499"中的一个数值。

例如:特洛伊将删除C:\\120000.exe, C:\\120001.exe, 等等一直到C:\\127499.exe。

修改Hosts文件

Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\\drivers\\etc\\hosts;在Windows 9x 系统中hosts文件位于%Windows%\\hosts。

SillyDl.IQ修改hosts文件,将以下域改为local host:

www.topcash.biz

topcash.biz

traffic2cash.biz

www.traffic2cash.biz

www.awmcash.biz

awmcash.biz

www.iframedollars.biz

iframedollars.biz

virgin-tgp.net

www.virgin-tgp.net

aaasexypics.com

www.aaasexypics.com

www.pizdato.biz

vesbiz.biz

www.vesbiz.biz

www.newiframe.biz

iframe.biz

www.iframe.biz

www.allforadult.com

allforadult.com

sexfiles.nu

awmdabest.com

www.sexfiles.nu

www.awmdabest.com

www.autoescrowpay.com

x.full-tgp.net

counter.sexmaniack.com

autoescrowpay.com

修改注册表\\系统设置

特洛伊删除"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"键值的以下键值,为了防止与这些键值相关的程序在系统启动时运行:

CashBack

ControlPanel

180ax

BullsEye Network

twink64.exe

Ukbybc

alchem

IST Service

Power Scan

Winad Client

Internet Optimizer

SysTime

还会删除"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"键值的以下键值:

Usoa

twink64.exe

在Windows 9x上,从以下键值删除"InternetExplorer6.0":

"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices"

特洛伊设置以下注册表键值使任务管理器失效:

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr = '1'

特洛伊设置以下键值,将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设置中列为受限制的站点:

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\213.159.117.133\\* = '4'

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\213.159.117.133\\* = '4'

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\209.8.20.130\\* = '4'

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\Domains\\209.8.20.130\\* = '4'

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 20:48:22