名称

威胁级别:

病毒行为:

病毒对注册表的操作:

名称

DOS.Downloader.s.13056

病毒名称(中文):

下载者VBS13056病毒别名:

威胁级别:

病毒类型:

网页病毒病毒长度:

13056影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

它是一个下载者脚本病毒，会修改系统时间，使部分安全软件失效，然后从指定的网址下载并执行盗号木马程序，盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》等大型网络游戏。它还具有自动更新的功能。

病毒会判断自身运行时的路径是否在 system32 文件夹下.如果病毒运行时的路径是在盘根目录下的话,则弹出所在盘的窗口.

如果病毒运行时路径不在 system32 文件夹下,则检测当前系统进程中 wscript.exe 进程的数量.

病毒会读取配置文件(`.url)的数据,如读取出来的数据与病毒设置的常量的值不同,则重写病毒配置文件

病毒把自身复制至以下路径:

%windir%\\`.vbe

%windir%\\system32\\`.vbe

病毒对注册表的操作:

创建启动项:

Key: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\run

Value: "explorer"

Data: "`.vbe"

修改注册表:

Key: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\

Value: "ShowSuperHidden"

BeforeData: "1" -- 没被修改前的值

AfterData: "0" -- 修改后的值

读取 %windir%\\system32\\wbem\\ 下的 `.vbe 文件与指定的版本号比较和读取配置文件里的某行数据与 1 进行比较,

如果不相同,则重写 %windir%\\system32\\wbem\\`.vbe 文件.(该文件并非病毒复本,但内容与病毒复本差不多)

遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\),删除盘根目录下的 autorun.inf 文件夹,复制病毒配置文件至盘根目录下autorun.inf,

病毒复本至盘根目录下 `.vbs.如果盘根目录下存在 `.vbs 和 autorun.inf ,则会读取数据进行判断是否属该病毒的文件,不同则重写.

病毒会判断系统是否属于网吧机器(检测万象的进程),不是则执行升级文件某行的数据.

病毒运行后，会把自身`.vbe复制到%windir%\\目录和%windir%\\system32\\目录下，然后修改注册表，实现自启动。接着，遍历网络硬盘和可移动硬盘(除 a:\\ 和 b:\\)，在各盘根目录下生成 `.vbs和病毒配置文件autorun.inf，扩大传染范围。

如果盘根目录下已经存在 `.vbs 和 autorun.inf，病毒便读取其数据，判断是否属自己的病毒文件，如不同，就将其改写为自己的文件。然后，通过检测万象进程的方法判断目前所在的电脑是否为网吧设备，如果不是，就会执行升级过程，下载 temp.txt 文件，从中获取盗号木马的最新下载地址。盗号的对象有《魔兽世界》、《热血江湖》、《功夫》、《问道》大型网络游戏等游戏，造成用户网络财产的损失。

此外，这个病毒具有一定的反杀软功能，它将系统时间修改为2002年，使部分安全软件的注册更新失效，无法正常工作，大大降低了用户系统安全性。