Win32.Troj.Dropper.vb

王朝vb·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

86016

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个病毒释放器,它能释放多种病毒程序。

1:释放文件

病毒运行后,会释放以下文件(*为随机数字)

C:\\*****.**->Win32.Troj.Agent.cm.13824

C:\\****.***->Win32.Troj.Agent.vb.19968

%病毒目录%\\Upack.exe(UPack加壳程序,不是病毒)

之后病毒会运行释放文件,并写一个bat脚本(C:\\DelMe.bat)自删除

2:释放的病毒体

病毒原体会使用释放出来的UPack程序对释放出来的病毒体

C:\\*****.**->Win32.Troj.Agent.cm.13824

进行加壳,然后拷贝到C:\\ProgramFiles\\%随机数字%\\%随机数字%.DLL处,

并插入到Explorer.exe进程中运行,盗取用户QQ密码。

C:\\****.***->Win32.Troj.Agent.vb.19968

此病毒体会释放出病毒体到以下目录

C:\\ProgramFiles\\CommonFiles\\System\\MS******.DLL(*为随机数字)

病毒名为Win32.Troj.Agent.vb.81920,并加入隐藏属性,

然后注入到Winlogon.exe,svchost.exe,services.exe进程中运行。

更改注册表值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden

ShowAll=0x00

MS******.DLL会再次释放两个文件

C:\\WINDOWS\\System32\\HF******.log(Win32.Troj.Tiny.d.2048)

C:\\WINDOWS\\System32\\MS******.CPL(Win32.Troj.Tiny.d.2048)

不定时用IE弹出以下网站www.****.net

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航