技術角度詳盡解析木馬「武裝下載器69632」

【賽迪網-IT技術報道】Win32.Troj.DownLoaderT.dl.69632是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe 和 登錄管理器進程winlogon.exe中，執行秘密下載。

病毒名稱(中文)：武裝下載器69632

威脅級別：★★☆☆☆

病毒類型：木馬下載器

病毒長度：69632

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe和登錄管理器進程winlogon.exe中，執行秘密下載。同時，該木馬會試圖關閉系統自帶的錯誤報告系統和部分殺毒軟體，防止用戶對它進行查殺。

1.關閉系統錯誤報告服務(ERSvc)：

修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk，鍵為0。

2.修改註冊表項，隱藏文件

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL

鍵值："CheckedValue"=dword:00000000。　　　　

3.修改日期：

修改系統日期為2005年。

4.創建c:/autorun.inf 文件。

[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe

5.修改註冊表、新建服務，並以服務的方式達到隨機啟動的目的：

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/dd33gsd2鍵值 : 字串 : "ImagePath"="C:/WINDOWS/system32/dd33gsd2.exe -k"服務名稱： dd33gsd2顯示名稱： dd33gsd2描述： dd33gsd2可執行文件的路徑： C:/WINDOWS/system32/dd33gsd2.exe啟動方式：自動

6.查找對話框窗口，判斷窗口類是否為"Button"，窗口名為"是(&Y)"，如果是則向該窗口發送左鍵按下消息，以關閉該窗口。

7.查找是否存在KAVStart進程，如果存在則向其"操作"菜單發送"退出"命令。

8.從http://al**a.ve**nx.cn/update.txt下載木馬地址列表。該列表包含了木馬程序的下載地址信息。

(