Win32.Troj.AutoRunT.ad.15598

这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。假如用户电脑中安装有杀毒软件卡巴斯基，病毒会修改系统日期，使卡巴失效。然后，它会下载病毒文件，并在系统上的每个磁盘下生成autorun.inf文件，扩散自己的传播范围。

这是一个下载者病毒,通过创建系统服务实现开机自启动.
从多个网址上下载病毒文件,并保存在系统上执行.
通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作.如发现卡巴文件则使用cmd的date命令修改系统日期.
在系统上的每个磁盘下生成autorun.inf文件,并指向病毒文件.(把systemroot\system32\Dser.exe复制一份至磁盘根目录下)

病毒运行后释放以下病毒文件:
%systemroot%\system32\Dser.exe (文件属性为"隐藏"和"系统")

判定系统上是否存在%systemroot%\system32\drivers\klif.sys文件,如存在则使用cmd带参数设置当前系统时间为1981-01-12.

病毒释放文件后在system32文件夹下创建批处理文件,并创建进程运行,删除自身:
:try
del"病毒源文件(释放源)"
ifexist"病毒源文件(释放源)"gototry
del%0

创建线程查找窗口标题名为"IE执行保护"、"IE执行保护"、"瑞星卡卡上网安全助手-IE防漏墙"窗口.如发现,则获取其窗口的"答应执行"按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下).

后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:
http://www.8**ao***mm.bj.cn/123.exe
http://www.8**ao***mm.bj.cn/124.exe
http://www.8**ao***mm.bj.cn/125.exe
http://www.8**ao***mm.bj.cn/126.exe
http://www.8**ao***mm.bj.cn/127.exe
http://www.8**ao***mm.bj.cn/128.exe

下载后的病毒文件全部保存在system32文件夹下.

在系统上的每个磁盘下创建autorun.inf文件,并把病毒文件复制一份至磁盘根目录下.autorun.inf文件指向病毒文件Dser.exe

病毒通过创建注册表系统服务实现开机自启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown ImagePath "%systemroot%\system32\Dser.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown DisplayName "AntiVirus"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown Description "网络安全向导"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Service "WinServerDown"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\0000 DeviceDesc "AntiVirus"