温馨提示:该条问答的文字/图片中可能存在风险信息,请注意识别,谨防上当受骗!
Downloader
AAA5453
2013-04-19
这个木马的作用是?现在还有吗?
满意答案
wuzhiqiang5
LV12
2013-04-19 Download来自er
【病毒名称】Downloader
【病毒类型】 绑架你的浏览器
【中毒症状】
Download持卫司er.Adminca雷至没民执丝sh 是一个特洛伊木尽传得鸡尼硫些财校困许马程序,它感染Windows系统中安全设置较低的Explorer.ex360问答e,同时下载Adw样挥落洲吸房笔电结称攻are和拨号器。
当Down垂议块罪外套干承loader.Adminc春远对渐触风ash 运行时,它执行以下皮探艺州用满操作:
创建如下互斥实例,以加杆确保同时只有一个木马运行:
BeavisMut益件植ex
ButtheadMutex
将自身拷贝为 %System%\soft.exe 和 %S干六原急庆找苏蒸施某孔ystem%\[随机生成文件名].exe
提示: %System% 是系统目录变量,默认情况下它是C:\Windows\System (Windows 95/98/Me), C:\W蒸衡功吗形杀innt\System32(息利球丰只迫阶句Windows NT/2000),或 C:\Windows\System32 (Windows XP).
创建如下秋注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MAC同HINE\Software\Microsoft\Active 观静吗望来只液道大Setup\Installed Components\
将下述键值:
"Web Service" = "%System%\[random file name].exe"
添加到如下注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Window众此端称害婷劳脱父s\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
添加注册表键值
"run" = "%System%\soft.exe"
到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
C室则族银毛urrentVersion\W层全脸钢九山苦古indows
添加注册表键值:
"DisableSR" = "0x00000001"
到:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
添加键值:
"EnableFirewall" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
以用于禁用Windows 的Windows Firewall。
添加键值:
"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
以禁用Windows 的自动更新。
添加注册表键值:
"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
将安全中心的三项设置均设为禁用
创建如下文件:
%Windir%\***.new
%Windir%\wininit.ini
提示: %Windir% 表示 Windows 安装目录,默认情况下是C:\Windows 或 C:\Winnt.
感染%Windir%\explorer.exe 文件。
从 ***.biz 下载一些 adware 和拨号器程序,用途嘛……不必多说了吧。
有,建议装卡巴斯基保护电脑
【病毒名称】Downloader
【病毒类型】 绑架你的浏览器
【中毒症状】
Download持卫司er.Adminca雷至没民执丝sh 是一个特洛伊木尽传得鸡尼硫些财校困许马程序,它感染Windows系统中安全设置较低的Explorer.ex360问答e,同时下载Adw样挥落洲吸房笔电结称攻are和拨号器。
当Down垂议块罪外套干承loader.Adminc春远对渐触风ash 运行时,它执行以下皮探艺州用满操作:
创建如下互斥实例,以加杆确保同时只有一个木马运行:
BeavisMut益件植ex
ButtheadMutex
将自身拷贝为 %System%\soft.exe 和 %S干六原急庆找苏蒸施某孔ystem%\[随机生成文件名].exe
提示: %System% 是系统目录变量,默认情况下它是C:\Windows\System (Windows 95/98/Me), C:\W蒸衡功吗形杀innt\System32(息利球丰只迫阶句Windows NT/2000),或 C:\Windows\System32 (Windows XP).
创建如下秋注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\
HKEY_LOCAL_MAC同HINE\Software\Microsoft\Active 观静吗望来只液道大Setup\Installed Components\
将下述键值:
"Web Service" = "%System%\[random file name].exe"
添加到如下注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Window众此端称害婷劳脱父s\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
添加注册表键值
"run" = "%System%\soft.exe"
到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
C室则族银毛urrentVersion\W层全脸钢九山苦古indows
添加注册表键值:
"DisableSR" = "0x00000001"
到:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
添加键值:
"EnableFirewall" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
以用于禁用Windows 的Windows Firewall。
添加键值:
"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
以禁用Windows 的自动更新。
添加注册表键值:
"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
将安全中心的三项设置均设为禁用
创建如下文件:
%Windir%\***.new
%Windir%\wininit.ini
提示: %Windir% 表示 Windows 安装目录,默认情况下是C:\Windows 或 C:\Winnt.
感染%Windir%\explorer.exe 文件。
从 ***.biz 下载一些 adware 和拨号器程序,用途嘛……不必多说了吧。
有,建议装卡巴斯基保护电脑
20