Downloader木马:绑架你的浏览器

  Downloader.Admincash 是一个特洛伊木马程序，它感染Windows系统中安全设置较低的Explorer.exe，同时下载Adware和拨号器。

     当Downloader.Admincash 运行时，它执行以下操作：

     创建如下互斥实例，以确保同时只有一个木马运行：

BeavisMutex
ButtheadMutex
     将自身拷贝为 %System%\soft.exe 和 %System%\[随机生成文件名].exe

提示: %System% 是系统目录变量，默认情况下它是C:\Windows\System (Windows 95/98/Me)， C:\Winnt\System32(Windows NT/2000)，或 C:\Windows\System32 (Windows XP).

     创建如下注册表项:

    HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
     HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

     将下述键值：

    "Web Service" = "%System%\[random file name].exe"

     添加到如下注册表项：

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

     添加注册表键值

     "run" = "%System%\soft.exe"

     到：

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows

     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
     CurrentVersion\Windows

     添加注册表键值：

     "DisableSR" = "0x00000001"

     到：

     HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\SystemRestore

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
     CurrentVersion\SystemRestore

     添加键值：

     "EnableFirewall" = "0x00000001"

     到注册表项：

     HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile

     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile

     HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile

     HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile

     以用于禁用Windows 的Windows Firewall。

    添加键值：

     "NoAutoUpdate" = "0x00000001"
   "AUOptions" = "0x00000001"

     到注册表项：

     HKEY_CURRENT_USER\Software\Policies\Microsoft\
   Windows\WindowsUpdate\AU

     HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
   Windows\WindowsUpdate\AU

     以禁用Windows 的自动更新。

     添加注册表键值：

     "FirewallDisableNotify" = "0x00000001"
   "UpdatesDisableNotify" = "0x00000001"
   "AntiVirusDisableNotify" = "0x00000001"
    
到注册表项：
    
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
     Security Center

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
     Security Center

     将安全中心的三项设置均设为禁用

     创建如下文件：

%Windir%\explorer.new
%Windir%\wininit.ini

提示: %Windir% 表示 Windows 安装目录，默认情况下是C:\Windows 或 C:\Winnt.
     感染%Windir%\explorer.exe 文件。

     从 admin2cash.biz  下载一些 adware 和拨号器程序，用途嘛……不必多说了吧。