Win32.Troj.Agent.yf.141824

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

AUTO下载者141824

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

141824

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个可以通过U盘传播的木马病毒。病毒运行后会在硬盘每个分区下生成U盘病毒,然后通过修改注册表以更改用户浏览器默认

首页,病毒会加载一个用任务治理器无法查看的隐藏进程msn.exe,每隔一段时间检查硬盘分区的autorun.inf和msn.exe是否存在,不

存在则还原,并在后台尝试连接远程服务器下载病毒文件安装至本地计算机。

1.在硬盘每个分区下生成文件

{盘符}\autorun.inf

{盘符}\msn.exe

2.生成注册表项

HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\adtuosa\flagmsnexe3"yes"

HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\microsoft\msncomitime"{木马运行时间}"

3.修改注册表项

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainStartPage"about:blank""http://www.baidu.com/index.php?tn=dsgj_cb"

4.病毒会修改浏览器首页为以下网址

http://www.baidu.com/index.php?tn=dsgj_cb

5.病毒文件使用文件夹图标,用户有可能会把它当成目录造成误点击

6.加载一个用任务治理器无法查看的隐藏进程msn.exe,每隔一段时间检查硬盘分区的autorun.inf和msn.exe是否存在,不存在则还原,所以

清除前必须先用IceSword之类的工具结束掉此隐藏进程才行

7.尝试连接远程服务器下载病毒文件安装至本地计算机

http://n**ad.tu**a.com/**x/x****a.exe

8.尝试连接远程计数网站统计受害的数量

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航