病毒大百科

这是一个木马下载者,该病毒运行后会关闭360安全卫士,并且会查找窗口名为"windwos文件保护"的窗口,并隐藏该窗口,还会失效AVP,随后从指定地址下载木马程序到本地.

1.该病毒是以动态链接库的方式被注入到系统进程,随后会检测自身宿主模块名是否为
conime.exe,internat.exe,ctfmon.exe,explorer.exe,如是,则启动
%systemroot%\system32\dllcatch目录下的 conime.exe,internat.exe,ctfmon.exe,explorer.exe.

2.同时该木马程序还会关闭360安全卫士,并且会查找窗口名为"windwos文件保护"的窗口,并隐藏该窗口

3.随后会从http://www.33**92.com/hostx.txt下载木马程序下载列表到IE缓存,该文件包含木马程序下载地址信息,木马程序会被下载到%tmp%\目录.文件名由hostx.txt内的字段决定,同时该木马还会检测是否存在avp.exe进程,若存在则修改系统时间至2001年,导致AVP失效