Downloader.Admincash 是一個特洛伊木馬程式,它感染Windows系統中安全設定較低的Explorer.exe,同時下載Adware和撥號器。
基本介紹
- 中文名:Downloader
- 類型:特洛伊木馬程式
- 中毒症狀:創建如下互斥實例
- 運行系統:Windows
病毒簡介,中毒特徵,
病毒簡介
【病毒名稱】Downloader
【病毒類型】 綁架你的瀏覽器
中毒特徵
【中毒症狀】
當Downloader.Admincash 運行時,它執行以下操作:
創建如下互斥實例,以確保同時只有一個木馬運行:
BeavisMutex
ButtheadMutex
將自身拷貝為 %System%\soft.exe 和 %System%\[隨機生成檔案名稱].exe
提示: %System% 是系統目錄變數,默認情況下它是C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32(Windows NT/2000),或 C:\Windows\System32 (Windows XP).
創建如下註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
將下述鍵值:
"Web Service" = "%System%\[random file name].exe"
添加到如下註冊表項:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
添加註冊表鍵值
"run" = "%System%\soft.exe"
到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
添加註冊表鍵值:
"DisableSR" = "0x00000001"
到:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
添加鍵值:
"EnableFirewall" = "0x00000001"
到註冊表項:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
以用於禁用Windows 的Windows Firewall。
添加鍵值:
"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"
到註冊表項:
HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
以禁用Windows 的自動更新。
添加註冊表鍵值:
"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"
到註冊表項:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
將安全中心的三項設定均設為禁用
創建如下檔案:
%Windir%\explorer.new
%Windir%\wininit.ini
提示: %Windir% 表示 Windows 安裝目錄,默認情況下是C:\Windows 或 C:\Winnt.
感染%Windir%\explorer.exe 檔案。
下載一些 adware 和撥號器程式,用途嘛……不必多說了吧。
