新闻资讯
看你所看,想你所想

特洛伊病毒Win32.SillyDl.IQ

2020-08-16 06:59:04分类:首页  /  百科
特洛伊病毒Win32.SillyDl.IQ

特洛伊病毒Win32.SillyDl.IQ

Win32.SillyDl.IQ是一种下载并运行其它恶意程式的特洛伊病毒,删除档案并修改hosts档案和其它系统设定。

基本介绍

  • 中文名:特洛伊病毒Win32.SillyDl.IQ
  • 危害:下载并运行其它恶意程式
  • 感染方式:设定注册表键值
  • 类别:电脑病毒

感染方式

运行时,Win32.SillyDl.IQ複製到"%System%\kernels32.exe",并设定以下注册表键值,为了在每次系统时运行病毒:
HKLM\Software\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"
HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels32.exe"
在Windows 9x系统上,设定以下键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"
注:'%System%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

危害

下载并运行其它恶意程式
SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意档案。这些档案从%System%目录使用以下档案名称运行:
vxh8jkdq1.exe
vxh8jkdq2.exe
vxh8jkdq5.exe
vxh8jkdq6.exe
vxh8jkdq7.exe
被特洛伊下载的恶意程式包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。

终止进程

如果以下进程正在运行,特洛伊会终止这些进程:
actalert.exe
alchem.exe
bargains.exe
bdl74125.exe
cmd32.exe
exdl.exe
fnnmqi.exe
hosts32.exe
iinstall.exe
installer2.exe
intron.exe
intronet.exe
ir.exe
istsvc.exe
lpt.exe
optimize.exe
powerscan.exe
printer32.exe
ptinter.exe
sidefind.exe
systime.exe
telnet.exe
teur.exe
ttgkirnl.exe
twink64.exe
usb.exe
ykyrtws.exe
WinClt.exe
Winad.exe

删除档案

特洛伊会删除%System%目录的以下档案:
host32.exe
telnet.exe.tmp
mouse.exe
com.exe
fnnmqi.exe
exdl.exe
exe2bin.exe
exul.exe
fastopen.exe
mscdexnt.exe
printer32.exe
ykyrtws.exe
lpt.exe
ir.exe
intron.exe
intronet.exe
twink32.exe
usb.exe
systime.exe
dktibs.exe
特洛伊会删除%Windows%目录的以下档案:
alchem.exe
adp8027-ISEARCHTECHS.exe
preInsTT.exe
preInsln.exe
preInMPP.exe
注:'%Windows%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
还会删除%Temp%目录的以下档案:
bdl74125.exe
installer2.exe
msbb.exe
注:'%Temp%'是一个可变的路径。病毒通过查询作业系统来决定当前Temp资料夹的位置。一般在以下路径:"C:\Documents and Settings\<username>\Local Settings\Temp", 或"C:\WINDOWS\TEMP"。
特洛伊还会删除以下档案:
C:\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.dir
这里的<filename>是从"120000"开始一直到"127499"中的一个数值。
例如:特洛伊将删除C:\120000.exe, C:\120001.exe, 等等一直到C:\127499.exe。

修改Hosts档案

Hosts档案包含IP位址和主机名的映射。Windows在查询DNS之前需要查找Hosts档案。在Windows XP, 2000, NT 系统中hosts 档案位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts档案位于%Windows%\hosts。
SillyDl.IQ修改hosts档案,将以下域改为local host:
www.topcash.biz
topcash.biz
traffic2cash.biz
www.traffic2cash.biz
www.awmcash.biz
awmcash.biz
www.iframedollars.biz
iframedollars.biz
virgin-tgp.net
www.virgin-tgp.net
aaasexypics.com
www.aaasexypics.com
www.pizdato.biz
vesbiz.biz
www.vesbiz.biz
www.newiframe.biz
iframe.biz
www.iframe.biz
www.allforadult.com
allforadult.com
sexfiles.nu
awmdabest.com
www.sexfiles.nu
www.awmdabest.com
www.autoescrowpay.com
x.full-tgp.net
counter.sexmaniack.com
autoescrowpay.com

修改注册表\系统设定

特洛伊删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值,为了防止与这些键值相关的程式在系统启动时运行:
CashBack
ControlPanel
180ax
BullsEye Network
twink64.exe
Ukbybc
alchem
IST Service
Power Scan
Winad Client
Internet Optimizer
SysTime
还会删除"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值:
Usoa
twink64.exe
在Windows 9x上,从以下键值删除"InternetExplorer6.0":
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"
特洛伊设定以下注册表键值使任务管理器失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = '1'
特洛伊设定以下键值,将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设定中列为受限制的站点:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'

相关推荐

声明:此文信息来源于网络,登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们:yongganaa@126.com