“廣告宣傳單983040”(win32.troj.autorun.ex.983040) 威脅級別:★
病毒進入係統後,首先將自己的病毒文件ridiap080124.exe復製至%windows%system32目錄下,並在係統盤中生成四個病毒文件,分別是%windows%目錄下的ie.ini,%documents and settings%all users「開始」菜單程序啓動目錄的word.lnk,%windows%system32目錄下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。釋放完文件後,病毒就建立批處理程序,把自己的原始文件刪除,使用戶無法發現病毒源。
病毒會利用word.lnk快捷方式指嚮病毒主文件ridiap080124.exe來達到開機啓動,然後查找“瑞星”和“卡巴斯基”等的警告窗口,如發現則模擬發送按鈕消息跳過查殺。同時還註入係統桌面的進程iexplorer.exe,在進程中查找並關閉“瑞星”、“卡巴斯基”、“360安全衛士”等安全軟件的進程。
解决掉安全軟件後,病毒嘗試將自身偽裝成browser helper objects的進程(微軟ie瀏覽器對第三方程序員開放交互接口的業界標準),並將自己添加到ie保護工具白名單中,刪除係統中用於記錄網址的hosts文件,為自己接下來的破壞行為鋪平道路。
如順利完成以上工作,病毒便連接木馬種植者指定的地址,獲取一份網址信息,自動登 |
|
|