Win32.Troj.Agent.rl.163840

來源:互聯網 2008-08-14 23:08:44 評論

窄屏简体版手機版移動版字體: 小|中|大

病毒名稱(中文):

僞裝下載器163840

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

163840

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中，然後修改注冊表，增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。

1.生成文件

C:\WINDOWS\system\mspmsnsv.dll

2.修改注冊表,添加啓動項.

增加以下注冊表鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSNNextInstancedword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Service"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Legacydword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ConfigFlagsdword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000Class"LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000DeviceDesc"PortableMediaSerialNumberService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control*NewlyCreated*dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\ControlActiveService"WmdmPmSN"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum0"Root\LEGACY_WMDMPMSN\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumCountdword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\EnumNextInstancedword:00000001

並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNTypedword:00000020dword:00000110

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSNStartdword:00000003dword:00000002

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\ParametersServiceDllhex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,

3.病毒運行後會刪除病毒源文件自身.

4.病毒運行後會從以下地址下載其他的病毒文件至本機:

http://xzz.****.com/

點擊展開全文

病毒名稱(中文): 僞裝下載器163840 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器病毒長度: 163840 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒是一個木馬下載器的變種。病毒運行後會衍生病毒文件至系統盤中，然後修改注冊表，增加啓動項。如成功啓動便會下載其它病毒至用戶機器上運行。 1.生成文件 C:\WINDOWS\system\mspmsnsv.dll 2.修改注冊表,添加啓動項. 增加以下注冊表鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN NextInstance dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Service "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Legacy dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ConfigFlags dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 Class "LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 ClassGUID "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000 DeviceDesc "PortableMediaSerialNumberService" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control *NewlyCreated* dword:00000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMSN\0000\Control ActiveService "WmdmPmSN" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum 0 "Root\LEGACY_WMDMPMSN\0000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum Count dword:00000001 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Enum NextInstance dword:00000001 並通過修改以下鍵值,將WmdmPmSn服務調用的dll文件路徑指向病毒文件: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Type dword:00000020 dword:00000110 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN Start dword:00000003 dword:00000002 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters ServiceDll hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, 3.病毒運行後會刪除病毒源文件自身. 4.病毒運行後會從以下地址下載其他的病毒文件至本機: http://xzz.****.com/

󰈣󰈤

王朝萬家燈火計劃
期待原創作者加盟

杭蓋樂隊《北歸》2020年全國保利院線巡演繼續，震撼現場精彩不斷

唐音時間音樂廠牌2020年主題系列演出之《夏天的風》音樂會

歌手文苡帆首支個人單曲《揚劈破》首發，中國風電音彰顯少年氣

雞蛋面樂隊第二支主打單曲《我多想》首發唱響愛的旋律

雞蛋面樂隊全新單曲《我多想》即將上線，動聽的歌唱給你聽

雞蛋面樂隊助力鴿子蜜蜂「春花冬夢」鄭州站，現場氣氛被點燃

《說唱聽我的》舒灏實力不容小觑，《OK》驚豔制作人開啓搶人模式

孔祥旗新歌《我吻過你留下的約定》即將再度來襲，讓愛繼續升溫

舒灏被黑沈默回應吃瓜水友《說唱聽我的》頂壓晉級

唱作人馬卡龍首支單曲《我不存在》即將上線，諸多圈內好友送祝福