Trojan.Alemod.B

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Trojan.Alemod.B

类别: 木马病毒

病毒资料:

光华反病毒研究中心近日进行病毒特征码更新,请用户尽快到光华网站www.viruschina.com下载升级包,以下是几个重要病毒的简介:

一、木马病毒:Trojan.Alemod.B 危害级别:★★★★☆

根据光华反病毒研究中心专家介绍,这是一个木马病毒,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它注入 oleext32.dll 文件记录用户Web访问,修改桌面设置,从网上下载执行文件,当收到、打开此病毒后,有以下现象:

A 创建以下文件:

系统目录 oleext.dll,System32\oleext32.dll和intell321.exe

Window目录 warnhp.Html uninstDsk.exe

用户目录 Application Data\Microsoft\Internet Explorer\Desktop.htt

B 创建注册表项HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

C 添加注册表项"intell321.exe" = "%System%\intell321.exe到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

使得病毒每次开机后执行获取控制权

D 添加注册表项"BackupWallpaper" = "%SystemRoot%\web\wallpaper\Bliss.bmp"到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General

E 增加注册表项"DisplayName" = "Desktop Uninstall" 和

"UninstallString" = "uninstDsk.exe"到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall

F 删除注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool和

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntivirusGold

G 复制系统目录的wininet.dll 文件为oleext32.dll ,注入病毒到oleext32.dll

H 改变壁纸为(图一)

I 在通知区域显示(图二)

J 从地址 http://download.alfacleaner.com/setu 下载并执行文件(被证实为病毒 Downloader.Harnig)

K 修改windows目录下的文件WININIT.INI中 "rename"的内容

二 木马病毒 W32.Beagle.EB 危害级别:★☆☆☆☆

根据光华反病毒研究中心专家介绍,W32.Maniccum 是一个木马病毒,该病毒长度 135,684 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它收集邮件地址发往指定地址,然后删除自身,当收到、打开此病毒后,有以下现象:

A 收集硬盘中以下扩展名的文件中邮件地址

.wab

.txt

.msg

.htm

.shtm

.stm

.XML

.dbx

.mbx

. mdx

.eml

.nch

.mmf

.ods

.cfg

.ASP

.PHP

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp

B 排除含有以下内容的邮件地址

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

bsd

Linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

WinZip

Google

WinRAR

samples

abuse

panda

cafee

spam

pgp

@avp.

noreply

local

root@

postmaster@

C 将收集到的地址发送到

http://www.gabyphoto.com/pages/out

D 增加注册表项"FirstRun4545" = "1"到

HKEY_CURRENT_USER\Software\FirstRun

E 删除病毒自身

北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到4月17日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2006-4-17

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航