病毒大百科

该病毒是一个木马下载者。病毒运行后会衍生病毒文件至客户本机,以及下载大量木马病毒至用户机器上并安装.

1.生成文件
%Sys32dir%\a.jpg
%Sys32dir%\vista.exe
%Sys32dir%\config\systemprofile\vista.exe
病毒运行后还会在每个盘的根目录下生成test.ext文件和Autorun.inf文件,并把system32目录下的urlmon.dll文件复制改名为Flower.dll

2.修改注册表,添加启动项.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run Shebe "C:\WINDOWS\system32\vista.exe"

3.病毒运行后会创建和病毒源文件相同名字的进程.

4.病毒运行后还会修改以下注册表键,利用映像劫持令金山毒霸,360,IceSword等安全软件无法运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

5.病毒运行后会令资源管理器,注册表编辑器无法打开.

6.病毒运行后会修改以下注册表键,使隐藏文件无法显示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue

7.病毒运行后会从以下地址下载其他的病毒文件(共40个)至本机c:\Documents and Settings\目录下:
http://dj.1****2035.cn/xiazai/1.exe
http://dj.1****2035.cn/xiazai/2.exe
http://dj.1****2035.cn/xiazai/3.exe
http://dj.1****2035.cn/xiazai/4.exe
...
http://dj.1****2035.cn/xiazai/40.exe