累积网新闻资讯
Win32.SillyDl.IQ是一种下载并运行其它恶意程序的特洛伊病毒来自,删除文件并修改hosts文件和其它系统设置。
- 中文名称 特洛伊病毒Win32.SillyDl.IQ
- 危害 下载并运行其它恶意程序
- 感染方式 设置注册表键值
- 类别 电脑病毒
感染方式
运行时,Win32.SillyDl.IQ复制到"%System%\kernels32.exe",并设置以下注册表键值来自,为了在每次系统时运行病毒:
HKLM\Softwar360百科e\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"
HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels块民盟转室但包掌32.exe"
在Windows 9x系统上,设置以下键值:
HKLM\Software\Microsoft\的视审Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"
总否海 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安书么住非松装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\进绿液全动建诉Windows\System; XP 的是C:\Windows\System32。
危害
下载并运行其它恶意程序
SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意文续刻植减额肉件。这些文件从%System%目录使用以下文件名运行:
vxh8jkdq1.exe
vxh8jkdq2.exe
vxh8jkd甚需头军口跳么才三q5.exe
vxh8jkdq6.exe
vxh8jkdq7.exe
被特洛伊下载杂殖但尼果的恶意程序包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a 盟备级有球Win32.Tibser变体。
终止进程
如果以下进程正在运行,特洛伊会终止这些进程:
actalert.exe
alchem.exe
bargains.exe
bdl74125.exe
cmd32.exe
exdl.exe
fnnmqi.exe
hosts32.exe
iinstall.exe
installer2.exe
intron.exe
intronet.exe
ir.exe
istsvc.exe
lpt.exe
optimize.exe
powerscan.exe
printer32.exe
ptinter.exe
sidefind.exe
systime.exe
telnet.exe
teur.exe
ttgkirnl.exe
twink64.exe
usb.exe
ykyrtws.exe
WinClt.exe
Winad.exe
删除文件
特洛伊会删除%System%目录的以下文件:
host32.exe
telnet.exe.tmp
mouse.exe
com.exe
fnnmqi.exe
exdl.exe
exe2bin.exe
exul.exe
fastopen.exe
mscdexnt.exe
printer32.exe
ykyrtws.exe
lpt.exe
ir.exe
intron.exe
intronet.exe
twink32.exe
usb.exe
systime.exe
dktibs.exe
特洛伊会删除%Windows%目录的以下文件:
alchem.exe
adp8027-ISEARCHTECHS.exe
preInsTT.exe
preInsln.exe
preInMPP.exe
注:'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\W超坚innt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
还会删除%Temp%目录的以下文件:
bdl74125.exe
installer2.exe
msbb.exe
来自 注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径:"C:\Documents and Setti凯掉它青器族ngs\<usernam据应药语e>\Local Settings\T置探简书文做殖磁emp", 或"C:\WINDOWS\TEMP"。
特洛伊还会删除以下文件:
C:\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.dir
这里的<filename>是从"120000"开始一直到"127499"中的一个数值。
例如:特洛伊架兰将删除C:\120000.exe, C:\120001.exe, 等等一直到C:\127499.exe。
修改Hosts文件
360百科 Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需女将法助钢属安三随连针要查找Hosts文件。在Windows XP, 2000, NT 系统中部认治hosts 文件位于见肥城爱书放历%System%\drivers\etc\hosts;在Windows 9x 系统中h女打导江旧谁执三还圆船osts文件位于%Windows%\hosts。
SillyDl.IQ修改hosts文件,将以下域改为local host:
www.topcash.biz
topcash.biz
traffic2cash.biz
www.tr项微几举武季切曲affic2cash.biz
www.awmcash.biz
awmcash.biz
www.iframedollars.biz
iframedollars.biz
virgin-tgp.net
www.virgin-tgp.net
aaasex发ypics.com
www困喜水印升.aaasexy的几走角文扩pics.com
w棉散深错拉责ww.pizdato.biz
vesbiz.biz
www.vesbiz.biz
www.newiframe.biz
iframe.biz
www.iframe.biz
www.allforadult.com
allforadult.com
sexfiles.nu
awmdabest.com
www.sexfiles.nu
www.awmdabest.com
www.autoescrowpay.com
x.full-tgp剧草意或滑肉控.net
counter.sexmaniack.com
auto汽受降层量坚escrowpay.com
修改注册表\系统设置
特洛伊删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键改般亲攻值,为了防止与这民图图每则些键值相关的程序在系统启动时运行:
CashBack
ControlPanel
180ax
BullsEye Network
twink64.exe
Ukbybc
alchem
IST Service
Power Scan
Winad Client
Internet Optimizer
SysTime
还会删除"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值:
Usoa
twink64.exe
在Windows 9x上,从以下键值删除"InternetExplorer6.0":
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"
特洛伊设置以下注册表键值使任务管理器失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = '1'
特洛伊设置以下键值,将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设置中列为受限制的站点:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
转载请注明出处累积网 » 特洛伊病毒Win32.SillyDl.IQ