特洛伊病毒Win32.SillyDl.IQ _生活百科

文章插图
特洛伊病毒Win32.SillyDl.IQ【特洛伊病毒Win32.SillyDl.IQ】Win32.SillyDl.IQ是一种下载并运行其它恶意程式的特洛伊病毒，删除档案并修改hosts档案和其它系统设定。
基本介绍中文名：特洛伊病毒Win32.SillyDl.IQ
危害：下载并运行其它恶意程式
感染方式：设定注册表键值
类别：电脑病毒
感染方式运行时，Win32.SillyDl.IQ複製到"%System%\kernels32.exe"，并设定以下注册表键值，为了在每次系统时运行病毒：HKLM\Software\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels32.exe"在Windows 9x系统上，设定以下键值：HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"注：'%System%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32； 95，98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32 。危害下载并运行其它恶意程式SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意档案。这些档案从%System%目录使用以下档案名称运行：vxh8jkdq1.exevxh8jkdq2.exevxh8jkdq5.exevxh8jkdq6.exevxh8jkdq7.exe被特洛伊下载的恶意程式包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。终止进程如果以下进程正在运行，特洛伊会终止这些进程：actalert.exealchem.exebargains.exebdl74125.execmd32.exeexdl.exefnnmqi.exehosts32.exeiinstall.exeinstaller2.exeintron.exeintronet.exeir.exeistsvc.exelpt.exeoptimize.exepowerscan.exeprinter32.exeptinter.exesidefind.exesystime.exetelnet.exeteur.exettgkirnl.exetwink64.exeusb.exeykyrtws.exeWinClt.exeWinad.exe删除档案特洛伊会删除%System%目录的以下档案：host32.exetelnet.exe.tmpmouse.execom.exefnnmqi.exeexdl.exeexe2bin.exeexul.exefastopen.exemscdexnt.exeprinter32.exeykyrtws.exelpt.exeir.exeintron.exeintronet.exetwink32.exeusb.exesystime.exedktibs.exe特洛伊会删除%Windows%目录的以下档案：alchem.exeadp8027-ISEARCHTECHS.exepreInsTT.exepreInsln.exepreInMPP.exe注：'%Windows%'是一个可变的路径。病毒通过查询作业系统来决定当前系统资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt； 95，98 和 ME 的是C:\Windows； XP 的是C:\Windows 。还会删除%Temp%目录的以下档案：bdl74125.exeinstaller2.exemsbb.exe注：'%Temp%'是一个可变的路径。病毒通过查询作业系统来决定当前Temp资料夹的位置。一般在以下路径："C:\Documents and Settings\<username>\Local Settings\Temp", 或"C:\WINDOWS\TEMP" 。特洛伊还会删除以下档案：C:\<filename>.exeC:\Program Files\WebSiteViewer\<filename>.exeC:\Program Files\WebSiteViewer\<filename>.dir这里的<filename>是从"120000"开始一直到"127499"中的一个数值。例如：特洛伊将删除C:\120000.exe, C:\120001.exe, 等等一直到C:\127499.exe 。修改Hosts档案Hosts档案包含IP位址和主机名的映射。Windows在查询DNS之前需要查找Hosts档案。在Windows XP, 2000, NT 系统中hosts 档案位于%System%\drivers\etc\hosts；在Windows 9x 系统中hosts档案位于%Windows%\hosts 。SillyDl.IQ修改hosts档案，将以下域改为local host：www.topcash.biztopcash.biztraffic2cash.bizwww.traffic2cash.bizwww.awmcash.bizawmcash.bizwww.iframedollars.biziframedollars.bizvirgin-tgp.netwww.virgin-tgp.netaaasexypics.comwww.aaasexypics.comwww.pizdato.bizvesbiz.bizwww.vesbiz.bizwww.newiframe.biziframe.bizwww.iframe.bizwww.allforadult.comallforadult.comsexfiles.nuawmdabest.comwww.sexfiles.nuwww.awmdabest.comwww.autoescrowpay.comx.full-tgp.netcounter.sexmaniack.comautoescrowpay.com修改注册表\系统设定特洛伊删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值，为了防止与这些键值相关的程式在系统启动时运行：CashBackControlPanel180axBullsEye Networktwink64.exeUkbybcalchemIST ServicePower ScanWinad ClientInternet OptimizerSysTime还会删除"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"键值的以下键值：Usoatwink64.exe在Windows 9x上，从以下键值删除"InternetExplorer6.0"："HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices" 特洛伊设定以下注册表键值使任务管理器失效：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = '1'特洛伊设定以下键值，将"213.159.117.133" 和 "209.8.20.130"I.P. 地址在Internet Explorer的安全设定中列为受限制的站点：HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\213.159.117.133\* = '4'HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\209.8.20.130\* = '4'