病毒大百科

判断病毒文件"svchost.dll"是否注入到包含关键字"winlogon.exe"的进程。

创建线程判断客户计算机上的系统时间是否2005年或之前,如果不是则设置系统时间为2005年。

病毒文件"svchost.dll"注入进程 explorer.exe 。

创建线程删除安全软件的注册表和服务。

读取指定的网址获取木马程序的下载地址,获取成功后下载木马程序保存在客户计算机上并运行。

生成的文件:
%SystemRoot%\system32\svchost.dll
%SystemRoot%\system32\dllcache\svchost.exe (正常系统上也有此文件,但中此病毒的系统,此文件被病毒文件覆盖)

添加的注册表:
Key:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe -g"

Key:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SVCHOST

Key:HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe -g"

总结:病毒会覆盖正常系统下指定文件夹下的文件,通过创建注册表服务以达到开机自启动的作用。病毒会删除客户计算机上指定安全软件的服务和注册表,以达到开机时不让安全软件自启动,并从网络上下载木马程序保存到客户计算机上运行。