分享
 
 
 

Win32.Adware.Pophot.v.475136

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

475136

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

这是一个恶意广告软件,隐蔽安装,难以卸载。病毒运行后会将自身复制到系统文件夹,并释放病毒文件,通过修改注册表达到自启动。

病毒修改了cmd命令关联的注册表项,当用户执行cmd命令前执行病毒。注入IE浏览器进程,在后台强制弹广告,干扰用户正常操作。

另外,该病毒还会结束江民和360安全卫士监控程序,而且监控卡巴斯基实时警告窗口和瑞星监控窗口,自动点击跳过按钮以逃过查杀。

修改注册表,把自身加入禁止弹广告程序的白名单,逃过封杀。还会下载隐蔽软件至用户计算机。

1.运行后复制自身至

%sys32dir%\AlxRes070712.exe

%sys32dir%\inf\scrsys070712.scr

D:\myplayer.com

并释放文件

%windir%\mywinsys.ini

%sys32dir%\inf\scrsys16_070712.dll

%sys32dir%\winsys16_070712.dll

%sys32dir%\winsys32_070712.dll

然后删除自身

2.生成启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\runUserinit"rundll32.exe%sys32dir%\winsys16_070712.dllstart"

3.修改注册表键值

(禁用默认IE关联检查)

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainCheck_Associations"yes"=>"no"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessorAutoRun""=>"d:\myplayer.com"

4.修改注册表,令用户在运行cmd命令前执行病毒

5.使用ntsd命令结束以下进程

KRegEx.exe

KVXP.kxp

360tray.exe

6.监控卡巴斯基实时警告窗口和瑞星监控窗口,自动点击跳过按钮以逃过查杀

7.自动打开IE浏览器,在后台连接远程网站,下载隐蔽软件

hxxp://www.10000xx.com/

hxxp://www.cniin.com

8.修改注册表,将自身加入禁止弹广告程序的白名单,逃过封杀

Software\Baidu\BaiduBar\WhiteList

Software\Yahoo\Assistant\Assist\adwurl

Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\ProtectedStorageSystemProvider

\Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist

9.注入IE浏览器进程,强制弹出广告,并迅速消失,干扰用户正常操作,并尝试修改hosts文件

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有