“广告宣传单983040”(win32.troj.autorun.ex.983040) 威胁级别:★
病毒进入系统后,首先将自己的病毒文件ridiap080124.exe复制至%windows%system32目录下,并在系统盘中生成四个病毒文件,分别是%windows%目录下的ie.ini,%documents and settings%all users「开始」菜单程序启动目录的word.lnk,%windows%system32目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后,病毒就建立批处理程序,把自己的原始文件删除,使用户无法发现病毒源。
病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动,然后查找“瑞星”和“卡巴斯基”等的警告窗口,如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe,在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。
解决掉安全软件后,病毒尝试将自身伪装成browser helper objects的进程(微软ie浏览器对第三方程序员开放交互接口的业界标准),并将自己添加到ie保护工具白名单中,删除系统中用于记录网址的hosts文件,为自己接下来的破坏行为铺平道路。
如顺利完成以上工作,病毒便连接木马种植者指定的地址,获取一份网址信息,自动登 |
|
|