Win32.Sality.k

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

23552

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Win32平台下感染可执行程序的PE病毒,病毒运行后复制病毒体至系统目录,检测用户机器上的可执行程序并进行感染;病毒通过检测微软的官方站点来判定用户机器网络连接状态,当网络可用时,病毒向病毒作者指定网站上下载后门、木马等,给用户安全造成威胁。

该病毒主要通过下载/安装被感染的程序进行传播。

1、病毒运行后释放一个迷惑用户的病毒体文件到系统目录下:

%system%\wmimgr32.dll

该DLL大小为23552字节。

2、加载该dll,dll加载过程中读取/写入%WinRoot%\system.ini内容,如:

[mcidrv32]

VideoVer=1234683

_hr=13

_dr=1

WININET=1

3、读取注册表项中的自启动程序,进行感染。

枚举注册表中的自启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4、扫描系统中的可执行程序并进行感染,感染时会加密原程序的入口代码。

5、通过连接微软的官方网站www.microsoft.com来判定网络状态,当网络已经连接时,病毒

通过连接以下网站下载病毒作者存放的后门、木马等:

www.xxxkuku.com

www.xxxnet11581q.com

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航