又一个“武装”了的病毒——武装AUTO下载器991232
08月 3rd, 2008 -
病毒介绍:
病毒名称:Win32.Troj.Agent.ie.302080
病毒别名:武装AUTO下载器991232
威胁级别:★★☆☆☆
病毒类型:木马
病毒长度:302456字节
影响系统:Win9x WinMe WinNT Win2000 WinXP WinVista
病毒详情:
“武装AUTO下载器991232”(Win32.Troj.AutoRunsT.m.991232),这是一个感染型的下载器。它能够穿透系统的还原保护,破坏安全软件的正常运行。还会利用AUTO技术进行传播。
此下载器有较强的感染能力,它利用感染硬盘中的网页传播,包括.do 、.htm、 .html、 .shtm、 .shtml 、.asp、 .aspx 、.php 、.jsp、 .cgi、 .xml等格式在内的网页文件全部都会被感染。
需要注意的是,这种感染并不是直接将病毒代码加入网页文件中,而是在其中写入一段由病毒作者指定的挂马网址,当用户启动这些文件时,就会被自动引导到挂马网页,从而感染完整的下载器。
调用系统中关于校验和监视系统文件变更的sfc.dll模块,修改它的数据,解除系统自身的监视与还原功能。然后连接病毒作者指定的地址http://w.XXXXX.cn,下载一份名为config.txt的病毒列表到%WINDOWS%\system32\。然后根据其中的地址去下载大量木马程序。
此外,为提高传播效率,该下载器会在各磁盘分区中建立AUTO文件。针对一些用户已经自己在移动存储器中建立AUTO文件,试图阻止病毒感染这一行为,这个病毒有它的一套应对措施:它会先删除各磁盘分区下已有的autorun.inf文件,然后再创建autorun.inf和病毒自身母体MSDOS.bat。