Sep 08
伪装360安全卫士43008
病毒的母体进入电脑后,搜索系统%WINDOWS%\system32\目录中是否有360tay.exe文件,如有就中止其进程,然后删除该文件。接着,将自己复制到该目录下,并命名为360tay.exe,完成“偷天换日”。
随后,该毒将自身注册为系统服务,名为“360Tay”,DisplayName为“360安全防护软件”,伪装成360安全卫士。它一旦运行起来,首先会释放资源区文件,恢复系统的SSDT表,令用户安装的还原软件失效,接着便从病毒作者指定的地址下载大量其它木马文件,或上传用户的某些文件。
除了下载木马,该毒还具有攻击其它电脑或网站的功能。它创建大量线程,向指定目标地址发送大量的垃圾数据,严重消耗网络带宽,让用户无法正常上网,十分烦人。毒霸家族的清理专家可以彻底查杀此木马,如发现系统中出现上诉异常,可到毒霸网站下载免费的清理专家进行处理。
Win32.Troj.360Tay
病毒名称(中文):
病毒别名:
威胁级别:
病毒类型:
病毒长度:
影响系统:
病毒行为:
这是一个下载器程序。它伪装成360安全卫士的进程,将自己注册为系统服务,悄悄连接远程地址,下载大量的木马文件,并根据黑客指令盗取文件。
复制自身到%sys32dir%\360tay.exe
添加服务的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360TAY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Tay
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vxd\360Tay
病毒运行之后,首先会释放资源区文件,用来恢复SSDT表,过还原软件。
获取%sys32dir%目录,将自身改名为360Tay,删除掉”%sys32dir%”中的360Tay文件后,复制自身到文
件夹中,
遍历系统进程,查找”360tray.exe”,结束360tray.exe,然后病毒会将自身注册为系统服务,名
为”360Tay”,DisplayName为”360安全防护软件”,伪装成360,开启服务;
创建自删除文件。
服务成功加载后,病毒可以:
创建大量线程向指定目标发送大量的垃圾数据,严重消耗网络带宽
上传下载指定文件
