病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
24576
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的下载广告的木马型病毒,病毒运行后的通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。
病毒主要通过捆绑软件方式进行传播。
1、下载/生成以下文件:
%Windir%\System32\magicap.dll
%Windir%\System32\magicap.ver
%Windir%\System32\magicaptmp.ver
%Windir%\System32\taskmngr.exe
%Windir%\System32\autorun.inf
%Windir%\System32\taskmngrtmp.exe
%Windir%\System32\d11host.exe
%Windir%\System32\magicapf.log
%Windir%\System32\oleauto32.dll
%Windir%\System32\ntcoredll.dll
%Windir%\System32\rpcfap.dll
%Windir%\System32\fileap.dll
%Windir%\System32\fileap.ver
%Windir%\System32\msieinslog.dat
%Windir%\prfexp.dat
%Windir%\secupadf.dat
%Windir%\msimfinst.log
%Windir%\ntcoredlltmp.dll
2、通过可用的网络资源下载以下文件:
http://bms.y****.com/plugin/magicap.ver保存为:%Windir%\system32\magicap.ver
http://bms.y****.com/plugin/taskmngr.exe保存为:%Windir%\system3\taskmngr.exe
3、将%windir%\system32\spydll.dll注入explorer进程
4、写入注册表项:
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
GinaDLL="rpcfap.dll"
