病毒名称(中文):
病毒别名:
Trojan-Downloader.Win32.Monurl.gen[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
24579
影响系统:
Win9xWinNT
病毒行为:
该病毒是一个下载器。病毒下载另一个病毒Win32.Hack.Thunk.d并运行。
1.下载网络文件到当前目录,文件名为child.exe(Win32.Hack.Thunk.d),然后运行child.exe。child.exe运行后释放文件为%system%
\child.dll(Win32.Hack.Thunk.d),并通过Rundll32加载该文件。
在当前目录中释放以下文件:
domains
access
map.txt
2.修改注册表。
在注册表中添加项:
HKCU\SOFTWARE\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32"默认"="%System%\child.dll"
HKCU\SOFTWARE\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32"ThreadingModel"="Apartment"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"="OLEAutomationModule"
3.在一个随机端口监听,等待黑客连接。