温馨提示:该条问答的文字/图片中可能存在风险信息,请注意识别,谨防上当受骗!
Downloa来自der
AAA5453
2013-04-19
这个木马的作用是?现在还有吗?
满意答案
wuzhiqiang5
LV12
2013-04-19 Downloader
【病毒名称】Downloader
【病毒类型】 绑架你的浏览器
【中毒症状】
Downloader.Admincash 是一个特洛伊木马程序,它感染Windows系统中安全设置较低的Explorer.exe,同时下载Adware和拨号器。
当Download临度明呢er.Admincash 运行时,它执行以下操作:
创建如下互斥实例,以确保同时只有一个木马运行:
BeavisMutex
ButtheadMutex
将自身拷贝为 %System%\soft.exe 和 %System%\[随机生成文件名].exe
提示: %System% 是系统目录变量,默认情况下它是C:\W滑送阻员钟重些落indows\System (Windows 95/98/360问答Me), C:\Winnt\System32(Windows NT/2000),或 C:\Windows\System32 (Windows XP).
创建如下注册表项:
HKEY_CURRENT_USER\Software\M权代有线量此icrosoft\Active Setup\Installed C殖李又期价果滑乡讨设略omponents\
HKEY_LOCAL_MACHINE\Sof弱tware\Micros展罗土督去维口府oft\Active Setup\Installed Components\
将下述键值:
"Web Service" = "%System%\[random file name].exe"
添加到如下极田组头天坚比规妈烈族注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\W工证述些钱雨于果充材indows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
添加注告互册表键值
"run" = "%System%\soft.exe"
到:
HKEY留滑图失规_LOCAL_MACHINE\SOFTWARE\Micro果温石形除坏soft\Windows NT\
CurrentVersion\Windows
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
添加注册表键值:
"Disabl家鲁守局圆缩eSR" = "0x00000001"
到:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\System识病求率些调Restore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
添加键值:
"EnableFirewall" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_CURR息突ENT_USER\SOFTW侵垂子加快诗ARE\Polici银田怎剧与明外航静毫点es\Microsoft\
WindowsFirew架混律all\Stand晚官于ardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
以用于禁用Windows 的Windows Firewall。
添加键值:
"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
以禁用Windows 的自动更新。
添加注册表键值:
"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
将安全中心的三项设置均设为禁用
创建如下文件:
%Windir%\***.new
%Windir%\wininit.ini
提示: %Windir% 表示 Windows 安装目录,默认情况下是C:\Windows 或 C:\Winnt.
感染%Windir%\explorer.exe 文件。
从 ***.biz 下载一些 adware 和拨号器程序,用途嘛……不必多说了吧。
有,建议装卡巴斯基保护电脑
【病毒名称】Downloader
【病毒类型】 绑架你的浏览器
【中毒症状】
Downloader.Admincash 是一个特洛伊木马程序,它感染Windows系统中安全设置较低的Explorer.exe,同时下载Adware和拨号器。
当Download临度明呢er.Admincash 运行时,它执行以下操作:
创建如下互斥实例,以确保同时只有一个木马运行:
BeavisMutex
ButtheadMutex
将自身拷贝为 %System%\soft.exe 和 %System%\[随机生成文件名].exe
提示: %System% 是系统目录变量,默认情况下它是C:\W滑送阻员钟重些落indows\System (Windows 95/98/360问答Me), C:\Winnt\System32(Windows NT/2000),或 C:\Windows\System32 (Windows XP).
创建如下注册表项:
HKEY_CURRENT_USER\Software\M权代有线量此icrosoft\Active Setup\Installed C殖李又期价果滑乡讨设略omponents\
HKEY_LOCAL_MACHINE\Sof弱tware\Micros展罗土督去维口府oft\Active Setup\Installed Components\
将下述键值:
"Web Service" = "%System%\[random file name].exe"
添加到如下极田组头天坚比规妈烈族注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\W工证述些钱雨于果充材indows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
添加注告互册表键值
"run" = "%System%\soft.exe"
到:
HKEY留滑图失规_LOCAL_MACHINE\SOFTWARE\Micro果温石形除坏soft\Windows NT\
CurrentVersion\Windows
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows
添加注册表键值:
"Disabl家鲁守局圆缩eSR" = "0x00000001"
到:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\System识病求率些调Restore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore
添加键值:
"EnableFirewall" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
HKEY_CURR息突ENT_USER\SOFTW侵垂子加快诗ARE\Polici银田怎剧与明外航静毫点es\Microsoft\
WindowsFirew架混律all\Stand晚官于ardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
以用于禁用Windows 的Windows Firewall。
添加键值:
"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate\AU
以禁用Windows 的自动更新。
添加注册表键值:
"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"
到注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
将安全中心的三项设置均设为禁用
创建如下文件:
%Windir%\***.new
%Windir%\wininit.ini
提示: %Windir% 表示 Windows 安装目录,默认情况下是C:\Windows 或 C:\Winnt.
感染%Windir%\explorer.exe 文件。
从 ***.biz 下载一些 adware 和拨号器程序,用途嘛……不必多说了吧。
有,建议装卡巴斯基保护电脑
20