特洛伊病毒Win32.SillyDl.IQ

编辑:大楼网互动百科 时间:2020-07-06 06:22:29
编辑 锁定
Win32.SillyDl.IQ是一种下载并运行其它恶意程序的特洛伊病毒,删除文件并修改hosts文件和其它系统设置。
中文名
特洛伊病毒Win32.SillyDl.IQ
危    害
下载并运行其它恶意程序
感染方式
设置注册表键值
类    别
电脑病毒

特洛伊病毒Win32.SillyDl.IQ感染方式

编辑
运行时,Win32.SillyDl.IQ复制到"%System%\kernels32.exe",并设置以下注册表键值,为了在每次系统时运行病毒:
HKLM\Software\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"
HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels32.exe"
在Windows 9x系统上,设置以下键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

特洛伊病毒Win32.SillyDl.IQ危害

编辑
下载并运行其它恶意程序
SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意文件。这些文件从%System%目录使用以下文件名运行:
vxh8jkdq6.exe
vxh8jkdq7.exe
被特洛伊下载的恶意程序包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。

特洛伊病毒Win32.SillyDl.IQ终止进程

编辑
如果以下进程正在运行,特洛伊会终止这些进程:
alchem.exe
bargains.exe
bdl74125.exe
fnnmqi.exe
hosts32.exe
installer2.exe
intron.exe
intronet.exe
ir.exe
istsvc.exe
lpt.exe
optimize.exe
powerscan.exe
printer32.exe
ptinter.exe
sidefind.exe
telnet.exe
teur.exe
ttgkirnl.exe
twink64.exe
ykyrtws.exe
WinClt.exe
Winad.exe

特洛伊病毒Win32.SillyDl.IQ删除文件

编辑
特洛伊会删除%System%目录的以下文件:
host32.exe
telnet.exe.tmp
mouse.exe
com.exe
fnnmqi.exe
exdl.exe
exe2bin.exe
fastopen.exe
mscdexnt.exe
printer32.exe
ykyrtws.exe
lpt.exe
ir.exe
intron.exe
intronet.exe
twink32.exe
usb.exe
systime.exe
dktibs.exe
特洛伊会删除%Windows%目录的以下文件:
alchem.exe
adp8027-ISEARCHTECHS.exe
preInsTT.exe
preInsln.exe
preInMPP.exe
注:'%Windows%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
还会删除%Temp%目录的以下文件:
bdl74125.exe
installer2.exe
注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径:"C:\Documents and Settings\<username>\Local Settings\Temp", 或"C:\WINDOWS\TEMP"。
特洛伊还会删除以下文件:
C:\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.exe
C:\Program Files\WebSiteViewer\<filename>.dir
这里的<filename>是从"120000"开始一直到"127499"中的一个数值。
例如:特洛伊将删除C:\120000.exe, C:\120001.exe, 等等一直到C:\127499.exe。

特洛伊病毒Win32.SillyDl.IQ修改Hosts文件

编辑
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
SillyDl.IQ修改hosts文件,将以下域改为local host:
www.topcash.biz
topcash.biz
traffic2cash.biz
www.traffic2cash.biz
www.awmcash.biz
awmcash.biz
www.iframedollars.biz
iframedollars.biz
virgin-tgp.net
www.virgin-tgp.net
aaasexypics.com
www.aaasexypics.com
www.pizdato.biz
vesbiz.biz
www.vesbiz.biz
www.newiframe.biz
iframe.biz
www.iframe.biz
www.allforadult.com
allforadult.com
sexfiles.nu
awmdabest.com
www.sexfiles.nu
www.awmdabest.com
www.autoescrowpay.com
x.full-tgp.net
counter.sexmaniack.com
autoescrowpay.com

特洛伊病毒Win32.SillyDl.IQ修改注册表\系统设置

编辑
特洛伊删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值,为了防止与这些键值相关的程序在系统启动时运行:
CashBack
ControlPanel
BullsEye Network
twink64.exe
Ukbybc
alchem
IST Service
Power Scan
Winad Client
Internet Optimizer
SysTime
还会删除"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值:
Usoa
twink64.exe
在Windows 9x上,从以下键值删除"InternetExplorer6.0":
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices"
特洛伊设置以下注册表键值使任务管理器失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = '1'
特洛伊设置以下键值,将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设置中列为受限制的站点:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'
词条标签:
计算机学 病毒