词条 | 下载者VBS13056 |
释义 | 名称DOS.Downloader.s.13056 病毒名称(中文): 下载者VBS13056病毒别名: 威胁级别:病毒类型: 网页病毒病毒长度: 13056影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为:它是一个下载者脚本病毒,会修改系统时间,使部分安全软件失效,然后从指定的网址下载并执行盗号木马程序,盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》等大型网络游戏。它还具有自动更新的功能。 病毒会判断自身运行时的路径是否在 system32 文件夹下.如果病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口. 如果病毒运行时路径不在 system32 文件夹下,则检测当前系统进程中 wscript.exe 进程的数量. 病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件 病毒把自身复制至以下路径: %windir%\\`.vbe %windir%\\system32\\`.vbe 病毒对注册表的操作:创建启动项: Key: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run Value: "explorer" Data: "`.vbe" 修改注册表: Key: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ Value: "ShowSuperHidden" BeforeData: "1" -- 没被修改前的值 AfterData: "0" -- 修改后的值 读取 %windir%\\system32\\wbem\\ 下的 `.vbe 文件与指定的版本号比较和读取配置文件里的某行数据与 1 进行比较, 如果不相同,则重写 %windir%\\system32\\wbem\\`.vbe 文件.(该文件并非病毒复本,但内容与病毒复本差不多) 遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\),删除盘根目录下的 autorun.inf 文件夹,复制病毒配置文件至盘根目录下autorun.inf, 病毒复本至盘根目录下 `.vbs.如果盘根目录下存在 `.vbs 和 autorun.inf ,则会读取数据进行判断是否属该病毒的文件,不同则重写. 病毒会判断系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据. 病毒运行后,会把自身`.vbe复制到%windir%\\目录和%windir%\\system32\\目录下,然后修改注册表,实现自启动。接着,遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\),在各盘根目录下生成 `.vbs和病毒配置文件autorun.inf,扩大传染范围。 如果盘根目录下已经存在 `.vbs 和 autorun.inf,病毒便读取其数据,判断是否属自己的病毒文件,如不同,就将其改写为自己的文件。然后,通过检测万象进程的方法判断目前所在的电脑是否为网吧设备,如果不是,就会执行升级过程,下载 temp.txt 文件,从中获取盗号木马的最新下载地址。盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》大型网络游戏等游戏,造成用户网络财产的损失。 此外,这个病毒具有一定的反杀软功能,它将系统时间修改为2002年,使部分安全软件的注册更新失效,无法正常工作,大大降低了用户系统安全性。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。