| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.rl.163840

來源:互聯網  2008-08-14 23:08:44  評論

病毒名稱(中文):

僞裝下載器163840

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

163840

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中,然後修改注冊表,增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。

1.生成文件

C:\WINDOWS\system\mspmsnsv.dll

2.修改注冊表,添加啓動項.

增加以下注冊表鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSNNextInstancedword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Service"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Legacydword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ConfigFlagsdword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Class"LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000DeviceDesc"PortableMediaSerialNumberService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control*NewlyCreated*dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\ControlActiveService"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum0"Root\LEGACY_WMDMPMSN\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumCountdword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumNextInstancedword:00000001

並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNTypedword:00000020dword:00000110

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNStartdword:00000003dword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\ParametersServiceDllhex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,

3.病毒運行後會刪除病毒源文件自身.

4.病毒運行後會從以下地址下載其他的病毒文件至本機:

http://xzz.****.com/

病毒名稱(中文): 僞裝下載器163840 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 163840 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中,然後修改注冊表,增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。 1.生成文件 C:\WINDOWS\system\mspmsnsv.dll 2.修改注冊表,添加啓動項. 增加以下注冊表鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN NextInstance dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Service "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ConfigFlags dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 DeviceDesc "PortableMediaSerialNumberService" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control *NewlyCreated* dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control ActiveService "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum 0 "Root\LEGACY_WMDMPMSN\0000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum Count dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum NextInstance dword:00000001 並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Type dword:00000020 dword:00000110 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Start dword:00000003 dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters ServiceDll hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, 3.病毒運行後會刪除病毒源文件自身. 4.病毒運行後會從以下地址下載其他的病毒文件至本機: http://xzz.****.com/
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有