技术角度详尽解析木马武装下载器69632

　　作者：king

【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中，执行秘密下载。

病毒名称(中文)：武装下载器69632

威胁级别：★★☆☆☆

病毒类型：木马下载器

病毒长度：69632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。

1.关闭系统错误报告服务(ERSvc)：

修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting的DoReport、ShowUI、ReportBootOk，键为0。

2.修改注册表项，隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL

键值："CheckedValue"=dword:00000000。　　　　

3.修改日期：

修改系统日期为2005年。

4.创建c:\autorun.inf 文件。

[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

5.修改注册表、新建服务，并以服务的方式达到随机启动的目的：

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\dd33gsd2
键值 : 字串 : "ImagePath"="C:\WINDOWS\system32\dd33gsd2.exe -k"
服务名称： dd33gsd2
显示名称： dd33gsd2
描述： dd33gsd2
可执行文件的路径： C:\WINDOWS\system32\dd33gsd2.exe
启动方式：自动

6.查找对话框窗口，判断窗口类是否为"Button"，窗口名为"是(&Y)"，如果是则向该窗口发送左键按下消息，以关闭该窗口。

7.查找是否存在KAVStart进程，如果存在则向其"操作"菜单发送"退出"命令。

8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。

(责任编辑：李磊)