WINDOWS下的PE病毒 WINDOWS下的木马程序
病毒类型:
病毒标准大小:49,242B
病毒启动方式:通过病毒Trojan.Agent.ajm的文件c:windowsmdm.exe启动
———————————————————————————————————
添加文件:
C:WINDOWSMDM.EXE(释放的Trojan.Agent.ajm病毒)
C:WINDOWSSVCHOST.EXE
C:WINDOWSSVCHOST.INI
X:AutoRun.inf
X:RavMon.exe
文件PEID信息:
系统进程:SVCHOST.EXE
进程用户:当前用户
测试时进程ID:1652
注册表添加:
添加启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSVCHOST: "C:WINDOWSMDM.EXE"
注册表修改:
修改隐藏选项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue: 0x00000001
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue: 30 00 00 00
其他信息:
1、自动释放病毒Trojan.Agent.ajm。
2、自启动通过病毒Trojan.Agent.ajm的文件c:windowsmdm.exe启动,但MDM.exe并不作为进程出现。
3、文件夹选项无法修改为显示所有文件。
4、此病毒通过U盘传播。
