病毒分类 WINDOWS下的PE病毒 病毒名称 TrojanProxy.ATI.a
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作瑞 星 版 本 号 17.27.40
1.病毒启动后将自己拷贝到系统目录下并且改名为 atiupdpl.exe,病毒将自己的进程注册为服务进程。
2.病毒在注册表中加如下列启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"atiupdpl" = %SYSTEM%\ATIUPDPL.EXE
3.病毒启动7个线程其中的三个线程在不停的写入上述的注册表的启动项,因此病毒运行时注册表的启动项无法清除,一个线程不断的根据当前的时间和系统光标在屏幕上的位置生成一个随机数。还有两个线程在后台进行网络连接,访问网页http://jupitersatellites.biz/atidwnld/access.php
