Win32.Troj.Autorun.56832

病毒名稱(中文):

殺軟封印下載器

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

56832

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個病毒下載器，它可通過U盤傳播。該病毒運行後會修改用戶的計算機配置和IE浏覽器的數據，從網絡上下載大量惡意軟件,並禁止用戶訪問任何與殺毒及系統安全有關的網頁。

一、病毒運行後會産生一個名爲TxHMoU的進程

1、該進程監控注冊表和文件，防止病毒的注冊表項和病毒文件被刪除或修改

2、該進程從網上下載大量的病毒

3、當用戶訪問一些帶“殺毒”，“瑞星”之內要害詞的網頁時，病毒會將IE關閉

4、由于監控文件和注冊表的修改，消耗了系統的大量資源，降低電腦運行速度

二、釋放文件

1、拷貝自身到C:\WINDOWS\system32\TxHMoU.Exe

2、在每個盤的根目錄釋放

AUToRUN.Inf

soS.Exe

比如在我機器上的情況如下所示

C:\AUToRUN.Inf

C:\soS.Exe

C:\WINDOWS\system32\AUToRUN.Inf

D:\AUToRUN.Inf

D:\soS.Exe

E:\AUToRUN.Inf

E:\soS.Exe

3、下載配置文件

IE.txt下載後命名爲FSEb.COM，記錄了IE主頁的URL，病毒會將IE主頁修改爲此URL

table.txt下載後命名爲FSEx.COM，記錄了一些網頁的要害詞，假如用戶所訪問的網頁包含有這些要害詞病毒會關閉IE

url.txt記錄了病毒要下載的病毒的URL

三、修改注冊表

1、添加注冊表啓動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

crsss"C:\WINDOWS\system32\TxHMoU.Exe"

2、禁用任務治理器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgrdword:00000001

3、禁止自動升級

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate

DisableWindowsUpdateAccessdword:00000001

4、禁止顯示隱藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValuedword:00000000

5、修改IE主頁

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

StartPage"http://m**n.9**k.com"

6、禁止用戶修改IE主頁

HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel

HomePagedword:00000001

7、當用戶訪問包含以下要害字的網頁時，IE會被關閉

360safe，木馬，木馬，病毒，殺毒，殺毒，查毒，防毒，反病毒，專殺，專殺，卡巴，江民，瑞星，卡卡社區，

金山毒霸，毒霸，金山，社區，360安全，惡意軟件，流氓軟件，舉報，報警，殺軟，殺軟，防駭，微點，卡巴斯基，

kaspersky，rising，瑞星，諾頓

• Win32.PSWTroj.OnLineGam
• Win32.Troj.VcingARP.a.8
• Win32.Troj.AutoRun.1269
• Win32.Troj.Pophot.10328
• Win32.Troj.Dialer.qn.20
• Win32.Troj.OnLineGames.
• Win32.Troj.Agent.vm.318
• Win32.PSWTroj.OnlineGam
• VBS.Rol.a.11804
• Win32.PSWTroj.OnlineGam