| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.208896

來源:互聯網  2008-08-14 23:08:43  評論

病毒名稱(中文):

僞裝進程下載器208896

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

208896

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個木馬下載程序。該程序圖標爲Windows默認可執行文件圖標,病毒擴展名爲exe,主要通過網頁木馬、文件捆綁方式傳播。

1.程序運行後,生成文件

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat

並且修改IE緩沖區中的文件.

2.該木馬被執行後,通過API函數GetModuleFileNameA獲取當前模塊對應的文件名,之後依次與以下文件名:conime.exe、

internat.exe、ctfmon.exe、explorer.exe進行比較,若發現與某個文件名相同,則執行目錄%systemroot%\system32\dllcache下

相同名稱的程序,欺騙用戶誤認爲是正常的系統文件;開啓一線程查找窗口名爲「Windows文件保護」的窗口,若找到則通過API函

數ShowWindow將其隱藏;通過API函數URLDownloadToCacheFileA將如下網址中含有下載列表的文件下載到緩沖區,通過API函數

InternetOpenA、InternetOpenUrlA、InternetReadFile依次訪問下載列表中的網站,將多種病毒和木馬程序下載到本地%temp%並運

行;破壞系統和盜取帳號信息。

3.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。

病毒名稱(中文): 僞裝進程下載器208896 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 208896 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載程序。該程序圖標爲Windows默認可執行文件圖標,病毒擴展名爲exe,主要通過網頁木馬、文件捆綁方式傳播。 1.程序運行後,生成文件 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat 並且修改IE緩沖區中的文件. 2.該木馬被執行後,通過API函數GetModuleFileNameA獲取當前模塊對應的文件名,之後依次與以下文件名:conime.exe、 internat.exe、ctfmon.exe、explorer.exe進行比較,若發現與某個文件名相同,則執行目錄%systemroot%\system32\dllcache下 相同名稱的程序,欺騙用戶誤認爲是正常的系統文件;開啓一線程查找窗口名爲「Windows文件保護」的窗口,若找到則通過API函 數ShowWindow將其隱藏;通過API函數URLDownloadToCacheFileA將如下網址中含有下載列表的文件下載到緩沖區,通過API函數 InternetOpenA、InternetOpenUrlA、InternetReadFile依次訪問下載列表中的網站,將多種病毒和木馬程序下載到本地%temp%並運 行;破壞系統和盜取帳號信息。 3.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有