Win32.Troj.ADLoad.an

1.简介中文名：未知

病毒类型： 木马程序

病毒长度： 24576

本病毒所有命名：未知

该病毒为Windows平台下的下载广告的木马型病毒，病毒运行后的通过网络下载相关的广告插件，下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。

2.行为分析该病毒为Windows平台下的下载广告的木马型病毒，病毒运行后的通过网络下载相关的广告插件，下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。

3.描述(1)生成以下文件

%Windir%System32magicap.dll

%Windir%System32magicap.ver

%Windir%System32magicaptmp.ver

%Windir%System32askmngr.exe

%Windir%System32autorun.inf

%Windir%System32askmngrtmp.exe

%Windir%System32d11host.exe

%Windir%System32magicapf.log

%Windir%System32oleauto32.dll

%Windir%System32tcoredll.dll

%Windir%System32pcfap.dll

%Windir%System32fileap.dll

%Windir%System32fileap.ver

%Windir%System32msieinslog.dat

%Windir%prfexp.dat

2、通过可用的网络资源下载以下文件：

http://bms.y****.com/plugin/magicap.ver 保存为: %Windir%system32magicap.ver

http://bms.y****.com/plugin/taskmngr.exe 保存为: %Windir%system3 askmngr.exe

3、将%windir%system32spydll.dll注入explorer进程

4、写入注册表项:

[HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"

[HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell ExtensionsApproved]

{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

d11host="C:WINNTSystem32d11host.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

GinaDLL="rpcfap.dll"

%Windir%secupadf.dat

%Windir%msimfinst.log

%Windir%coredlltmp.dll