| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Downloader.nq

來源:互聯網  2008-08-14 22:50:28  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬程序

病毒長度:

31744

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒爲Windows平台下木馬下載器,病毒運行後利用注入技術繞過防火牆的監視,然後將病毒下載木馬的代碼和地址注入到系統正常進程中執行病毒代碼,下載完畢後病毒注入執行代碼至系統正常進程中執行下載後的木馬或其它病毒。

病毒主要通過捆綁軟件方式進行傳播。

1、病毒運行後將自身複制僞系統正常文件,文件名如下:

%WinDir%\System32\winsvc.exe

2、檢測病毒程序所在分區中是否存在"*:\ProgramFiles\InternetExplorer\IEXPLORE.EXE",存在則直接運行該程序,進行注入操作;

假如該文件不存在則運行系統目錄中的"%WinDir%\system32\svchost.exe",

然後能過"svchost.exe"將IE運行。

3、病毒將下載後的木馬或其它病毒保存到:"%Windir%\System32\0.exe",下載完畢後將執行代碼注入IE進程中,以執行病毒程序。

4、病毒通過添加以下注冊表項,使病毒開機後自動運行:

[HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

WinSvc="c:\winnt\system32\winsvc.exe"

5、病毒添加以下注冊項,用以標記下載狀態:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager]

@="1"

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 31744 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲Windows平台下木馬下載器,病毒運行後利用注入技術繞過防火牆的監視,然後將病毒下載木馬的代碼和地址注入到系統正常進程中執行病毒代碼,下載完畢後病毒注入執行代碼至系統正常進程中執行下載後的木馬或其它病毒。 病毒主要通過捆綁軟件方式進行傳播。 1、病毒運行後將自身複制僞系統正常文件,文件名如下: %WinDir%\System32\winsvc.exe 2、檢測病毒程序所在分區中是否存在"*:\ProgramFiles\InternetExplorer\IEXPLORE.EXE",存在則直接運行該程序,進行注入操作; 假如該文件不存在則運行系統目錄中的"%WinDir%\system32\svchost.exe", 然後能過"svchost.exe"將IE運行。 3、病毒將下載後的木馬或其它病毒保存到:"%Windir%\System32\0.exe",下載完畢後將執行代碼注入IE進程中,以執行病毒程序。 4、病毒通過添加以下注冊表項,使病毒開機後自動運行: [HKKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WinSvc="c:\winnt\system32\winsvc.exe" 5、病毒添加以下注冊項,用以標記下載狀態: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager] @="1"
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有