Win32.SillyDl.IQ是一種下載並運行其它惡意程式的特洛伊病毒,刪除檔案並修改hosts檔案和其它系統設定。
基本介紹
- 中文名:特洛伊病毒Win32.SillyDl.IQ
- 危害:下載並運行其它惡意程式
- 感染方式:設定註冊表鍵值
- 類別:電腦病毒
感染方式,危害,終止進程,刪除檔案,修改Hosts檔案,修改註冊表\系統設定,
感染方式
運行時,Win32.SillyDl.IQ複製到"%System%\kernels32.exe",並設定以下註冊表鍵值,為了在每次系統時運行病毒:
HKLM\Software\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"
HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels32.exe"
在Windows 9x系統上,設定以下鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害
下載並運行其它惡意程式
SillyDl.IQ從"vxiframe.biz"域下載並運行很多其它的惡意檔案。這些檔案從%System%目錄使用以下檔案名稱運行:
vxh8jkdq6.exe
vxh8jkdq7.exe
被特洛伊下載的惡意程式包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser變體。
終止進程
如果以下進程正在運行,特洛伊會終止這些進程:
alchem.exe
bargains.exe
bdl74125.exe
fnnmqi.exe
hosts32.exe
installer2.exe
intron.exe
intronet.exe
ir.exe
istsvc.exe
lpt.exe
optimize.exe
powerscan.exe
printer32.exe
ptinter.exe
sidefind.exe
telnet.exe
teur.exe
ttgkirnl.exe
twink64.exe
ykyrtws.exe
WinClt.exe
Winad.exe
刪除檔案
特洛伊會刪除%System%目錄的以下檔案:
host32.exe
telnet.exe.tmp
mouse.exe
com.exe
fnnmqi.exe
exdl.exe
exe2bin.exe
fastopen.exe
mscdexnt.exe
printer32.exe
ykyrtws.exe
lpt.exe
ir.exe
intron.exe
intronet.exe
twink32.exe
usb.exe
systime.exe
dktibs.exe
特洛伊會刪除%Windows%目錄的以下檔案:
alchem.exe
adp8027-ISEARCHTECHS.exe
preInsTT.exe
preInsln.exe
preInMPP.exe
註:'%Windows%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
還會刪除%Temp%目錄的以下檔案:
bdl74125.exe
installer2.exe
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定當前Temp資料夾的位置。一般在以下路徑:"C:\Documents and Settings\<username>\Local Settings\Temp", 或"C:\WINDOWS\TEMP"。
特洛伊還會刪除以下檔案:
C:\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.dir
這裡的<filename>是從"120000"開始一直到"127499"中的一個數值。
例如:特洛伊將刪除C:\120000.exe, C:\120001.exe, 等等一直到C:\127499.exe。
修改Hosts檔案
Hosts檔案包含IP位址和主機名的映射。Windows在查詢DNS之前需要查找Hosts檔案。在Windows XP, 2000, NT 系統中hosts 檔案位於%System%\drivers\etc\hosts;在Windows 9x 系統中hosts檔案位於%Windows%\hosts。
SillyDl.IQ修改hosts檔案,將以下域改為local host:
www.topcash.biz
topcash.biz
traffic2cash.biz
www.traffic2cash.biz
www.awmcash.biz
awmcash.biz
www.iframedollars.biz
iframedollars.biz
virgin-tgp.net
www.virgin-tgp.net
aaasexypics.com
www.aaasexypics.com
www.pizdato.biz
vesbiz.biz
www.vesbiz.biz
www.newiframe.biz
iframe.biz
www.iframe.biz
www.allforadult.com
allforadult.com
sexfiles.nu
awmdabest.com
www.sexfiles.nu
www.awmdabest.com
www.autoescrowpay.com
x.full-tgp.net
counter.sexmaniack.com
autoescrowpay.com
修改註冊表\系統設定
特洛伊刪除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"鍵值的以下鍵值,為了防止與這些鍵值相關的程式在系統啟動時運行:
CashBack
ControlPanel
BullsEye Network
twink64.exe
Ukbybc
alchem
IST Service
Power Scan
Winad Client
Internet Optimizer
SysTime
還會刪除"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"鍵值的以下鍵值:
Usoa
twink64.exe
在Windows 9x上,從以下鍵值刪除"InternetExplorer6.0":
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"
特洛伊設定以下註冊表鍵值使任務管理器失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = '1'
特洛伊設定以下鍵值,將"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全設定中列為受限制的站點:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
