Win32.Troj.Agent.rl.163840

來源:互聯網 2008-08-14 23:08:44 評論

窄屏简体版手機版移動版字體: 小|中|大

病毒名稱(中文):

僞裝下載器163840

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

163840

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中，然後修改注冊表，增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。

1.生成文件

C:\WINDOWS\system\mspmsnsv.dll

2.修改注冊表,添加啓動項.

增加以下注冊表鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSNNextInstancedword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Service"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Legacydword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ConfigFlagsdword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Class"LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000DeviceDesc"PortableMediaSerialNumberService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control*NewlyCreated*dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\ControlActiveService"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum0"Root\LEGACY_WMDMPMSN\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumCountdword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumNextInstancedword:00000001

並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNTypedword:00000020dword:00000110

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNStartdword:00000003dword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\ParametersServiceDllhex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,

3.病毒運行後會刪除病毒源文件自身.

4.病毒運行後會從以下地址下載其他的病毒文件至本機:

http://xzz.****.com/

點擊展開全文

病毒名稱(中文): 僞裝下載器163840 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器病毒長度: 163840 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中，然後修改注冊表，增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。 1.生成文件 C:\WINDOWS\system\mspmsnsv.dll 2.修改注冊表,添加啓動項. 增加以下注冊表鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN NextInstance dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Service "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ConfigFlags dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 DeviceDesc "PortableMediaSerialNumberService" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control *NewlyCreated* dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control ActiveService "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum 0 "Root\LEGACY_WMDMPMSN\0000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum Count dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum NextInstance dword:00000001 並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Type dword:00000020 dword:00000110 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Start dword:00000003 dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters ServiceDll hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, 3.病毒運行後會刪除病毒源文件自身. 4.病毒運行後會從以下地址下載其他的病毒文件至本機: http://xzz.****.com/

󰈣󰈤

王朝萬家燈火計劃
期待原創作者加盟

春蜂桃裏華語民謠原創大賽作品征集圓滿結束，120首作品入圍打榜

“龍女郎”姚星彤演技被贊《畢業的我們》獲最佳女演員鑽石獎

音樂人劉牧中國風單曲《一把折扇》首發,傳遞中國傳統文化記憶

磊落組合2019音樂之旅圓滿結束，六城巡演聯合多位藝術家碰撞火花

金熙澤全新單曲《男人的情歌》感恩節溫情首發，唱給最愛的人來聽

原創家庭音樂劇《辰辰大冒險之水中奇緣》火熱開票

2019年春蜂桃裏華語民謠原創大賽閃歌分賽區正式啓動

音樂人葛樂銘全新純音樂《時光2019》首發，挑戰全新音樂曲風

MU Band 2019年《樂夏浪漫》演唱會12月北京開唱

30多位知名歌手嘉賓評審共同助陣春蜂桃裏華語民謠原創大賽