基本介紹
- 中文名:下載者VBS13056
- 外文名:DOS.Downloader.s.13056
- 病毒類型:網頁病毒
- 病毒長度:13056
- 影響系統:WinMe WinNT Win2000 WinXP
名稱,病毒行為,操作,
名稱
病毒名稱(中文):
下載者VBS13056病毒別名:
病毒行為
病毒會判斷自身運行時的路徑是否在 system32 資料夾下.如果病毒運行時的路徑是在盤根目錄下的話,則彈出所在盤的視窗.
如果病毒運行時路徑不在 system32 資料夾下,則檢測當前系統進程中 wscript.exe 進程的數量.
病毒會讀取配置檔案(`.url)的數據,如讀取出來的數據與病毒設定的常量的值不同,則重寫病毒配置檔案
病毒把自身複製至以下路徑:
%windir%\`.vbe
%windir%\system32\`.vbe
操作
創建啟動項:
Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
Value: "explorer"
Data: "`.vbe"
修改註冊表:
Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Value: "ShowSuperHidden"
BeforeData: "1" -- 沒被修改前的值
AfterData: "0" -- 修改後的值
讀取 %windir%\system32\wbem\ 下的 `.vbe 檔案與指定的版本號比較和讀取配置檔案里的某行數據與 1 進行比較,
如果不相同,則重寫 %windir%\system32\wbem\`.vbe 檔案.(該檔案並非病毒複本,但內容與病毒複本差不多)
遍歷網路硬碟和可移動硬碟(除 a:\ 和 b:\),刪除盤根目錄下的 autorun.inf 資料夾,複製病毒配置檔案至盤根目錄下autorun.inf,
病毒複本至盤根目錄下 `.vbs.如果盤根目錄下存在 `.vbs 和 autorun.inf ,則會讀取數據進行判斷是否屬該病毒的檔案,不同則重寫.
病毒會判斷系統是否屬於網咖機器(檢測萬象的進程),不是則執行升級檔案某行的數據.
病毒運行後,會把自身`.vbe複製到%windir%\目錄和%windir%\system32\目錄下,然後修改註冊表,實現自啟動。接著,遍歷網路硬碟和可移動硬碟(除 a:\ 和 b:\),在各盤根目錄下生成 `.vbs和病毒配置檔案autorun.inf,擴大傳染範圍。
如果盤根目錄下已經存在 `.vbs 和 autorun.inf,病毒便讀取其數據,判斷是否屬自己的病毒檔案,如不同,就將其改寫為自己的檔案。然後,通過檢測萬象進程的方法判斷目前所在的電腦是否為網咖設備,如果不是,就會執行升級過程,下載 temp.txt 檔案,從中獲取盜號木馬的最新下載地址。盜號的對象有《魔獸世界》、《熱血江湖》、《功夫》、《問道》大型網路遊戲等遊戲,造成用戶網路財產的損失。
此外,這個病毒具有一定的反殺軟功能,它將系統時間修改為2002年,使部分安全軟體的註冊更新失效,無法正常工作,大大降低了用戶系統安全性。
