Win32.Troj.Agent.208896

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

伪装进程下载器208896

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

208896

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。

1.程序运行后,生成文件

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat

并且修改IE缓冲区中的文件.

2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、

internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下

相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows文件保护”的窗口,若找到则通过API函

数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数

InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运

行;破坏系统和盗取帐号信息。

3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航