病毒大百科

这是一个下载者木马。它运行后复制自身到系统文件夹，并在各个磁盘分区中添加Autorun病毒。病毒会从网络下载其他病毒，对系统造成破坏。它还会监控金山毒霸的警告框，如果发现弹出则关闭。

1.复制文件：
%sys32dir%\4015D32C.DLL
%sys32dir%\4015D32C.EXE
上述两个文件为随机文件名。
另外，还在每个磁盘分区根目录下创建Autorun，即创建以下两个文件：
auto.exe
autorun.inf

2.添加到到注册表：
添加以下注册表项，注册为系统服务，随系统开机启动：
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\5445773B]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5445773B]
ImagePath = "C:\WINDOWS\system32\4015D32C.EXE -k"

添加以下注册表项，屏蔽开机时“使用最后一次正确的配置”选项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT]
ReportBootOk = dword:00000001

修改以下注册表项，使系统不显示隐藏文件，隐藏自身：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue: dword:00000001 -> dword:00000000

3.破坏方式
该木马运行后，复制自身到系统文件夹，文件名随机，添加到系统服务并且在各个分区添加Autorun。木马会启动单
独的线程来监控金山毒霸的警告框，如果发现弹出则关闭。另外，创建远程线程注入到winlogon.exe进程，通过注
入的线程从网络下载其他木马或者病毒，进行配合，对系统造成破坏，如盗取用户帐号密码等信息。