| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Downloader.ll

來源:互聯網  2008-08-14 22:50:15  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬程序

病毒長度:

18056

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒爲Windows平台下載木馬、廣告的程序。病毒運行後將釋放出一個僞系統文件的程序,通過可用的網絡資源下載相關的木馬或其它病毒程序,同時病毒會讀取下載後的文件中的內容,根據裏面的內容訪問相關站點。

病毒主要通過捆綁軟件或欺騙安裝方式進行傳播。

1、病毒運行後釋放出以下僞系統文件:

%SysRoot%\programfiles\internetexplorer\iexplore.sys

2、然後將"Iexplore.sys"注入以下兩個進程中:

Explorer.exe

TaskMgr.exe

3、注入以上程序成功後病毒會通過枚舉taskmgr.exe的輸入表來修改"SetThreadDesktop",

將其函數的地址替換爲病毒的地址,用于防止用戶通過"Windows任務治理器"來終止病毒程序。

4、病毒通過添加以下注冊表項,實現病毒的開機自動啓動:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys"

5、網絡狀態可用時,病毒嘗試通過網絡下載以下文件:

http://www.q***.com/system/NewDown.jpg

http://www.q***.com/system/open.jpg

6、下載完畢後病毒分別讀取/解密以上兩個文件中的內容.

其中"NewDown.jpg"文件用于下載以文件:

http://www.q***.com/ck/ck3.exe

http://www.q***.com/system/shua.exe

其中"open.jpg"文件用于訪問以下相關網站:

http://www.q***.com

http://www.j***.cn

http://www.free***.com

http://www.goo***.cn

http://www.po***.cn

7、病毒同時會在注冊表中添加以下注冊表值用于判定病毒是否運行:

[HKEY_CURRENT_USER\Software\\Ms\\Open3]

"FirstRun"="Yes"

8、病毒運行過程中會創建一個窗體名爲:"012345"類名爲:"ScrollBar"的窗體。

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 18056 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲Windows平台下載木馬、廣告的程序。病毒運行後將釋放出一個僞系統文件的程序,通過可用的網絡資源下載相關的木馬或其它病毒程序,同時病毒會讀取下載後的文件中的內容,根據裏面的內容訪問相關站點。 病毒主要通過捆綁軟件或欺騙安裝方式進行傳播。 1、病毒運行後釋放出以下僞系統文件: %SysRoot%\programfiles\internetexplorer\iexplore.sys 2、然後將"Iexplore.sys"注入以下兩個進程中: Explorer.exe TaskMgr.exe 3、注入以上程序成功後病毒會通過枚舉taskmgr.exe的輸入表來修改"SetThreadDesktop", 將其函數的地址替換爲病毒的地址,用于防止用戶通過"Windows任務治理器"來終止病毒程序。 4、病毒通過添加以下注冊表項,實現病毒的開機自動啓動: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] iexplore.sys="c:\programfiles\internetexplorer\iexplore.sys" 5、網絡狀態可用時,病毒嘗試通過網絡下載以下文件: http://www.q***.com/system/NewDown.jpg http://www.q***.com/system/open.jpg 6、下載完畢後病毒分別讀取/解密以上兩個文件中的內容. 其中"NewDown.jpg"文件用于下載以文件: http://www.q***.com/ck/ck3.exe http://www.q***.com/system/shua.exe 其中"open.jpg"文件用于訪問以下相關網站: http://www.q***.com http://www.j***.cn http://www.free***.com http://www.goo***.cn http://www.po***.cn 7、病毒同時會在注冊表中添加以下注冊表值用于判定病毒是否運行: [HKEY_CURRENT_USER\Software\\Ms\\Open3] "FirstRun"="Yes" 8、病毒運行過程中會創建一個窗體名爲:"012345"類名爲:"ScrollBar"的窗體。
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有