Downloader（网络病毒）

Downloader（网络病毒）

Downloader （网络病毒） 次浏览 | 2022.09.07 12:28:33 更新 来源 ：互联网 精选百科 本文由作者推荐 Downloader网络病毒

Downloader.Admincash是一个特洛伊木马程序，它感染Windows系统中安全设置较低的Explorer.exe，同时下载Adware和拨号器。病毒运行后，会复制自身到每个盘的根目录，文件名为“command”，然后修改“autorun.inf”文件，这样会大大增加病毒的运行机会。

中文名

Downloader

适用领域

计算机

类型

特洛伊木马程序

中毒症状

创建如下互斥实例

运行系统

Windows

病毒简介

【病毒名称】Downloader

【病毒类型】你的浏览器

中毒特征

【中毒症状】

当Downloader.Admincash运行时，它执行以下操作：

创建如下互斥实例，以确保同时只有一个木马运行：

BeavisMutex

ButtheadMutex

将自身拷贝为%System%soft.exe和%System%[随机生成文件名].exe

提示：%System%是系统目录变量，默认情况下它是C:WindowsSystem(Windows 95/98/Me)，C:WinntSystem32(Windows NT/2000)，或C:WindowsSystem32(Windows XP).

创建如下注册表项:

HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components

HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components

将下述键值：

"Web Service"="%System%[random file name].exe"

添加到如下注册表项：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionun

添加注册表键值

"run"="%System%soft.exe"

到：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWindows

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionWindows

添加注册表键值：

"DisableSR"="0x00000001"

到：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

添加键值：

"EnableFirewall"="0x00000001"

到注册表项：

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

以用于禁用Windows的WindowsFirewall。

添加键值：

"NoAutoUpdate"="0x00000001"

"AUOptions"="0x00000001"

到注册表项：

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

以禁用Windows的自动更新。

添加注册表键值：

"FirewallDisableNotify"="0x00000001"

"UpdatesDisableNotify"="0x00000001"

"AntiVirusDisableNotify"="0x00000001"

到注册表项：

HKEY_CURRENT_USERSOFTWAREMicrosoft

Security Center

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Security Center

将安全中心的三项设置均设为禁用

创建如下文件：

%Windir%explorer.new

%Windir%wininit.ini

提示：%Windir%表示Windows安装目录，默认情况下是C:Windows 或 C:Winnt.

感染%Windir%explorer.exe文件。

病毒解决办法

操作步骤如下：

1.当打开网页的时候symantec会弹出对话框，病毒名为"downloader"。

2.双际病毒名，弹出对话框对话框内有病毒地址：C:Documents and Settings imeLocal SettingsTemporary Internet FilesContent.IE5

3.进入该目录，删除目录中所有文件，如果这个电脑没有中病毒，所有文件都可以删除掉，当中病毒后有几个文件无法删除.无法删除的文件就是所要找的病毒。

4.下载此软件名为"Unlocker.rar"

5.删除后打开网页。该文件夹内会自动生成7-8个文件，再次删除所有文件.如果没有提示不可删除文件提示窗口，这样就成功一半了。

6.以上只是第一步，第二步，使用360卫士等清理工具，进行注册表的修复，因downloader病毒会自动修改注册表内的信息.所以要进行修复。

7.再次打开网页，进行重复刷新.没有出现symantec窗口，证明彻底删除了病毒。

参考资料