请输入您要查询的百科知识:

 

词条 下载者VBS13056
释义

名称

DOS.Downloader.s.13056

病毒名称(中文):

下载者VBS13056病毒别名:

威胁级别:

病毒类型:

网页病毒病毒长度:

13056影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

它是一个下载者脚本病毒,会修改系统时间,使部分安全软件失效,然后从指定的网址下载并执行盗号木马程序,盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》等大型网络游戏。它还具有自动更新的功能。

病毒会判断自身运行时的路径是否在 system32 文件夹下.如果病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.

如果病毒运行时路径不在 system32 文件夹下,则检测当前系统进程中 wscript.exe 进程的数量.

病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件

病毒把自身复制至以下路径:

%windir%\\`.vbe

%windir%\\system32\\`.vbe

病毒对注册表的操作:

创建启动项:

Key: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run

Value: "explorer"

Data: "`.vbe"

修改注册表:

Key: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\

Value: "ShowSuperHidden"

BeforeData: "1" -- 没被修改前的值

AfterData: "0" -- 修改后的值

读取 %windir%\\system32\\wbem\\ 下的 `.vbe 文件与指定的版本号比较和读取配置文件里的某行数据与 1 进行比较,

如果不相同,则重写 %windir%\\system32\\wbem\\`.vbe 文件.(该文件并非病毒复本,但内容与病毒复本差不多)

遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\),删除盘根目录下的 autorun.inf 文件夹,复制病毒配置文件至盘根目录下autorun.inf,

病毒复本至盘根目录下 `.vbs.如果盘根目录下存在 `.vbs 和 autorun.inf ,则会读取数据进行判断是否属该病毒的文件,不同则重写.

病毒会判断系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.

病毒运行后,会把自身`.vbe复制到%windir%\\目录和%windir%\\system32\\目录下,然后修改注册表,实现自启动。接着,遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\),在各盘根目录下生成 `.vbs和病毒配置文件autorun.inf,扩大传染范围。

如果盘根目录下已经存在 `.vbs 和 autorun.inf,病毒便读取其数据,判断是否属自己的病毒文件,如不同,就将其改写为自己的文件。然后,通过检测万象进程的方法判断目前所在的电脑是否为网吧设备,如果不是,就会执行升级过程,下载 temp.txt 文件,从中获取盗号木马的最新下载地址。盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》大型网络游戏等游戏,造成用户网络财产的损失。

此外,这个病毒具有一定的反杀软功能,它将系统时间修改为2002年,使部分安全软件的注册更新失效,无法正常工作,大大降低了用户系统安全性。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/21 5:08:48