黑客木马程序“伪装暴力下载器”病毒分析  
 
 
很久没发病毒分析文章了：

Win32.TrojDownloader.FraudLoad.66048，这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其它木马。 

病毒名称:Win32.TrojDownloader.FraudLoad.66048 

中文名称:伪装暴力下载器66048 

威胁级别:★★☆☆☆ 

病毒类型:黑客程序 

病毒长度:66048字节 

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003 

病毒行为: 

这是一个黑客木马程序。该木马会降低系统安全设置，关闭防火墙，使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据，并下载其它木马。 

1.释放病毒 

%Local Settings%\Temporary Internet Files\Content.IE5\C4DGV5NI\goggle[1].htm 

%WINDOWS%\braviax.exe 

%WINDOWS%\cru629.dat 

%system32%\braviax.exe 

%system32%\cru629.dat 

%system32%\univrs32.dat 

%system32%\winivstr.exe 

生成在wincmd.ini文件中添加： 

firstmnu=3513 

[lefttabs] 

0_path=c:\WorkTools\ 

0_options=1|0|0|0|0|1|0 

activetab=1 

[righttabs] 

0_path=c:\WorkTools\OllyICE\ 

0_options=1|0|0|0|0|0|0 

activetab=0 

activelocked=1 

========================================


2.创建键值，建立服务，可以自启动 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 

Search Bar "http://www.google.com/ie" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

braviax "C:\WINDOWS\system32\braviax.exe" 

3.修改注册表项 

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions" 

= "yes" 

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchBar" 

= "http://www.google.ie" 

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchPage" 

= "http://www.google.com" 

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"StartPage" 

= "http://www.google.com" 

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"Default_Search_URL" 

= "http://www.google.ie" 

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"SearchPage" 

= "http://www.google.com" 

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"StartPage" 

= "http://www.google.com" 

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\"SearchAssistant" 

= "http://www.google.com" 

修改以下注册表项，减低系统安全设置 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" 

= "01000000" 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" 

<= "01000000" 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" 

= "01000000" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" 

= "01000000" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" 

= "01000000" 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" 

= "01000000" 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ 

Parameters\FirewallPoli 

cy\Standa 

rdProfile\EnableFirewall" = "00000000" 

4.病毒注入到所有进程中并调用运行，保护病毒体不被复制、删除。 

破坏多款防火墙程序，窃取被感染计算机 

上用户的私密信息并发送给病毒作者，另外，可能会破坏用户计算机系统内的某些应用程序等。 

5.从http://www.so****shier.com/me***ers/link[已删除],下载执行其他病毒。