订阅 病毒名稱(中文):
李鬼衛士
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
124928
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個用VB編寫的木馬程序變種。病毒僞裝成安全輔助軟件「360安全衛士」的相關文件,騙取用戶點擊。它成功運行後,會修改IE浏覽器的默認首頁、增加IE浏覽器擴展按鈕,還會將用戶的網卡物理地址、計算機名稱等信息發送至遠程服務器。
(1)運行後釋放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX(VB控件)
%sys32dir%\NTVBSvcW.tlb(類型庫文件)
%sys32dir%\SoftIcon.ico(圖標文件)
(2)運行後添加注冊表項
HKEY_CLASSES_ROOT\InetCtls.Inet
HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Extensions\CmdMapping{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetCtls.Inet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Extensions\{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360SAFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Safe
(3)運行後修改注冊表項
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainStartPagewww.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MainStartPagewww.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MainDefault_Page_URLwww.007788.com
(4)病毒運行後嘗試修改IE浏覽器首頁,並嘗試彈出新IE窗口打開這個網址
(5)病毒嘗試爲IE浏覽器增加一個擴展功能按鈕:訪問007788
(6)病毒嘗試增加一個系統服務,描述如下:
服務名:360safe
顯示名稱:360SafeServer
描述:360SafeServer
映像路徑:%sys32dir%\360Server.exe
啓動類型:自動
(7)病毒運行後以下兩個進程會被創建並運行:
360Safe.exe
360Server.exe
其中360Safe.exe進程在後台監控並還原首頁地址
(8)病毒文件僞裝成360安全衛士,誘惑用戶點擊,文件屬性信息如下:
文件版本:1.0.0.0
産品版本:1.00
産品名稱:360Safe
公司名稱:奇虎網
內部名稱:4
語言:中文(中國)
源文件名:4.exe
(9)病毒嘗試統計中毒者機器信息,如網卡物理地址、計算機名等,然後發送至遠程服務器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3
| 笑話軍事旅遊美容女性百態母嬰家電遊戲互聯網財經美女幹貨家飾健康探索資源娛樂學院 數碼美食景區養生手機購車首飾美妝裝修情感篇廚房科普動物植物編程百科知道汽車珠寶 健康評測品味娛樂居家情感星座服飾美體奢侈品美容達人親子圖庫折扣生活美食花嫁風景 | |
Win32.Troj.StartPage.251392
病毒名稱(中文):
李鬼衛士
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
124928
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個用VB編寫的木馬程序變種。病毒僞裝成安全輔助軟件「360安全衛士」的相關文件,騙取用戶點擊。它成功運行後,會修改IE浏覽器的默認首頁、增加IE浏覽器擴展按鈕,還會將用戶的網卡物理地址、計算機名稱等信息發送至遠程服務器。
(1)運行後釋放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX(VB控件)
%sys32dir%\NTVBSvcW.tlb(類型庫文件)
%sys32dir%\SoftIcon.ico(圖標文件)
(2)運行後添加注冊表項
HKEY_CLASSES_ROOT\InetCtls.Inet
HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Extensions\CmdMapping {b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetCtls.Inet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Extensions\{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360SAFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Safe
(3)運行後修改注冊表項
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main StartPage www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main StartPage www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main Default_Page_URL www.007788.com
(4)病毒運行後嘗試修改IE浏覽器首頁,並嘗試彈出新IE窗口打開這個網址
(5)病毒嘗試爲IE浏覽器增加一個擴展功能按鈕:訪問007788
(6)病毒嘗試增加一個系統服務,描述如下:
服務名:360safe
顯示名稱:360SafeServer
描述:360SafeServer
映像路徑:%sys32dir%\360Server.exe
啓動類型:自動
(7)病毒運行後以下兩個進程會被創建並運行:
360Safe.exe
360Server.exe
其中360Safe.exe進程在後台監控並還原首頁地址
(8)病毒文件僞裝成360安全衛士,誘惑用戶點擊,文件屬性信息如下:
文件版本:1.0.0.0
産品版本:1.00
産品名稱:360Safe
公司名稱:奇虎網
內部名稱:4
語言:中文(中國)
源文件名:4.exe
(9)病毒嘗試統計中毒者機器信息,如網卡物理地址、計算機名等,然後發送至遠程服務器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3
相關資訊
熱帖排行
- 深度探秘中國最邪門的八個地方都在哪兒
- 色彩搭配也會影響妳的情緒?
- 智能家居也瘋狂玩轉家具N種功能
- 妳們說美白為何這麽難?這些白不了原因妳都知道嗎?
- 抓好以下四點降低大型遊樂設施和遊樂場設備事故發生率
- 90%的女性都不知道的疾病-外陰白斑
- 分類信息網站建設如何支持網站快速獲得排名
微信掃碼關註本站公眾號 wangchaonetcn
免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
© 2005- 王朝網路 版權所有