Win32.Troj.Tibs.kj.28672

核心提示：病毒名称(中文):精确制导下载器28672病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:28672影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个木马下载器程序，为了躲避杀毒软件查杀，Win32.Troj.Tibs.kj.28672，它对自己的数据信息进行了加

病毒名称(中文): 精确制导下载器28672
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 木马下载器
病毒长度: 28672
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个木马下载器程序。为了躲避杀毒软件查杀，它对自己的数据信息进行了加花处理。它最大的特点是，能判定当前感染系统的版本、语言版本等信息，选择不同的木马进行下载。

1.通过netshFirewallsetallowedPRogram命令使windows防火墙答应病毒程序连接网络进行操作。

2.释放病毒副本：
X:\WINDOWS\System32\winds32.exe；

3.添加自启动项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run，
"System32"=X:\WINDOWS\System32\winds32.exe;

4.在注册表中禁用任务治理器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,
"DisableTaskMgr"=1;

5.判定当前系统cpu型号，系统语言版本，操作系统版本等信息，根据这些信息选择不同的下载地址。

6.连接地址http://sum4count.net/adv/058/adload.php读取下载列表,下载的木马文件路径和文件名类似如下情况：x:\windows\system32\dflgh8jkd2q1.exe,运行下载回来的这些木马文件，盗取用户有价值的信息。

7.连接地址下载并运行以下文件：
http://s*****unt.net/pyewgjhfdgjhdf/search.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/winlogon.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/tibs.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/tool.jpg,
http://s*****unt.net/pyewgjhfdgjhdf/proxy.jpg
保存的路径和文件名同上。