Win32.TrojDownloader.Small.hs.976896分析

　　威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 976896

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个下载者木马，采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动，然后启动%systemRoot%\system32\dllcache中的explorer.exe文件来启动桌面。创建线程循环查找窗口，如果发现“Windows文件保护”的对话框窗口则隐藏该窗口；如果发现进程中有卡巴斯基的主程序则修改系统时间为2001年。连接http://n*w.******.com/xin.txt下载一个文本，该文本为需下载的病毒列表，根据该列表下载木马到本机并运行。

　　1.程序运行之后会首先调用GetModuleFileNameA获取自己的完整路径以得到自身的文件名。

　　2.判断自己的文件名是否为下面几个文件中的一个

　　conime.exe，internat.exe，ctfmon.exe，explorer.exe

　　3.调用GetFileAttributes判断%systemRoot%\system32\dllcache中同名的文件是否存在，如果存在则调用WinExec将%systemRoot%\system32\dllcache中对应的程序调用启动。

　　4.创建线程，调用FindWindowA循环查找窗口。如果找到WindowsName为"Windows文件保护"，WindowsClass名为"#32770"的窗口则调用ShowWindow隐藏该窗口。

　　5.在系统临时文件夹创建如下文件~wupcai。

　　6.遍历进程快照看是否有AVP.exe，如果存在该进程则更改系统时间为2001年

　　7.连接http://n*w.******.com/xin.txt下载一个文本，该文本为要下载的病毒列表

　　而后该程序会按照该列表中的网址下载病毒并运行。