Win32.Troj.AutoRunsT.m.991232

核心提示：病毒名称(中文):武装AUTO下载器991232病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:14680影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个感染型的下载器，它能够穿透系统的还原保护，Win32.Troj.AutoRunsT.m.991232，破坏

病毒名称(中文): 武装AUTO下载器991232
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 木马下载器
病毒长度: 14680
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个感染型的下载器。它能够穿透系统的还原保护，破坏安全软件的正常运行。还会利用AUTO技术进行传播。

感染C:\WINDOWS\system32\spoolsv.exe文件，并穿还原保护，结束安全软件进程，修改系统时间，在每个驱动器下复制autorun.inf和其对应的病毒文件，感染全盘网页文件，下载大量病毒。
1． 查找进程smss.exe是否存在，不存在退出。
2． 判定自身是不是驱动器打开，是则ShellExecuteAopen盘符:\打开
3． 删除"C:\WINDOWS\Tasks\0x01xx8p.exe"将自身movefile到"C:\WINDOWS\Tasks\0x01xx8p.exe"。
4． 判定进程中有没有avp.exe有了修改系统时间为2004年1月1号。
5． 提升自身为SeDebugPRivilege权限，TerminateProcess结束avp.exekvsrvxp.exekissvc.exe
6． 将"C:\WINDOWS\system32\dllcache\spoolsv.exe"拷贝到C:\WINDOWS\system32\spoolsv.exe，将C:\WINDOWS\system32\spoolsv.exe复制到C:\WINDOWS\Tasks\spoolsv.ext和SysFile.brk。
7． 判定spoolsv.exe最后一个节是不是".WYCao"，是的退出感染，不是则覆盖spoolsv.exe的最后一个节。
8． 调用sfc.dll的模块.#5地址，.#5的意思是这个模块的导出函数序号，这个函数就是操作文件保护的。
9． 删除C:\WINDOWS\system32\spoolsv.exe，将C:\WINDOWS\Tasks\spoolsv.extMoveFile到C:\WINDOWS\system32\spoolsv.exe，删除C:\WINDOWS\Tasks\spoolsv.ext。
10． 搜索进程中有没有"explorer1.exe"，存在将自身WriteProcessMemory写入该进程。
11． 下载http://w.XXXXX.cn/config.txt到%windir%\system32\config.txt,复制到windows.txt。
12． 搜索非windows和ProgramFiles目录下的所有.do.htm.html.shtm.shtml.asp.aspx.php.jsp.cgi.xml将插入。搜索到.gho文件删除。
13． 下载病毒列表中的病毒，下载到system32下，并运行。
14． 先删除每个驱动器下的autorun.inf，给每个驱动器下创建autorun.inf和病毒自身母体MSDOS.bat。
15． 当SendGet不为空时，发送用户的计算机名到网络接收端。
16． 释放资源中的驱动到C:\zzz.sys，并创建服务zzz,用sc来加载启动。
17． 先创建设备\.\c:然后DeviceIoControl成功创建\\.\yyy2设备，将修改后的C:\WINDOWS\system32\spoolsv.exe复制到\\.\yyy2\windows\system32\spoolsv.exe，删除服务，删除C:\zzz.sys。
18． 感染spoolsv.exe后的现创建病毒自身c:\WINDOWS\windows.ext，并运行，调到spoolsv.exe程序入口点。