Win32.TrojDownloader.PurityScan.71168

核心提示：病毒名称(中文):顽固下载器71168病毒别名:威胁级别:★☆☆☆☆病毒类型:木马下载器病毒长度:71168影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个木马下载器程序，此毒为了对抗反病毒厂商和高级用户的查杀，Win32.TrojDownloader.PurityScan

病毒名称(中文): 顽固下载器71168
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马下载器
病毒长度: 71168
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀，进行了较多的伪装，并且释放出的病毒文件路径及文件名均可变。

1.病毒首先检测当前环境是否是真实环境，发现是在虚拟机内运行时执行大量伪装的正常代码。

2.模拟正常软件执行过程，在注册表如下位置写入信息：
HKCU\Software\Acat,"ohsu"=2c034563(无用的16进制数)。
HKCU\Software\Cebs"Aacu"=24124565(无用的16进制数)。

3.在一可变路径下新建目录，在该目录下释放病毒副本文件，副本文件名也为可变，通过观察病毒副本文件可能位于：
c:\DocumentsandSetting\[username]\applicationData\system32\explorer.exe,
c:\PRogramsFiles\security\scanregw.exe；
副本文件路径有多种，不一一列出。

4.病毒创建自启动项来使释放的副本文件随系统加载：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
"oCSS"=c:\programsFiles\security\scanregw.exe-vttzt（该值当前释放的病毒副本全路径）

5.病毒运行以参数-vttzt运行所释放的副本文件；

6.新病毒进程开启后到指定地址读取病毒下载列表，病毒下载列表地址如下：
http://nf.o****info.com/notify.php