病毒特性:
Zquest是一种特洛伊病毒,下载并安装其它的恶意和有潜在危害软件。它是大小为38,040字节的Win32可运行程序。
感染方式:
运行时,Zquest生成并安装%Windows%\dh.dll文件。它修改注册表,作为一个Browser Helper Object(BHO)注册dh.dll:
HKCR\CLSID\{6001CDF7-6F45-471b-A203-0225615E35A7}\InProcServer32\(Default) = "%Windows%\DH.dll"
HKCR\CLSID\{6001CDF7-6F45-471b-A203-0225615E35A7}\InProcServer32\ThreadingModel = "Apartment"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6001CDF7-6F45-471b-A203-0225615E35A7}\(Default) = ""
注:'%Windows %'是一个可变的路径。病毒通过查询操作系统来决定Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。 特洛伊还会修改以下注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DH\(Default)=0
危害:
下载并运行任意文件
当Internet Explorer启动时特洛伊就会启动。开始,特洛伊下载一个配置文件(%Windows%\dh.ini),包含一个下载其它文件的URL列表。写入时,包含这些URL,但是不限于这些:
§ 几个额外的URL列表,下载并显示广告(从searchingbooth.com 和 uzoogle.com 域)
§ 其它的恶意程序,例如Win32/Actux.A (可能下载%Windows%\newfrn.exe)
以下是Win32/Zquest.Av病毒显示的广告:
其它信息
Zquest生成Global Atom String “dhglobalatomstring”。
|
