Win32.Troj.OnlineGameT.bd.65697

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

时间机器下载器65697

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

65697

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载器。该程序主要通过网页木马、文件捆绑方式传播,它会修改系统时间,使得杀毒软件卡巴斯基无法正常运行。

1.程序运行后,生成文件

C:\WINDOWS\WINSvr32.exE

C:\WINDOWS\system32\WINSvr32.dll

2.注册表添加启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

WINSvr32"C:\WINDOWS\WINSvr32.exE"

3.病毒会首先查找互斥事件“EFIOPYKLX”,然后遍历进程,搜索explorer.exe进程。

找到explorer.exe进程后,将病毒代码注入目标进程。在内存中病毒写入了下载地址“http://www.X**X.com/khhm.exe“

以及提前获取的函数地址和信息:注入完成后,病毒通过调用CreateRemoteThread启动注入的代码,在注入的远程代码中,

病毒装载urlmon.dll,然后获取和调用URLDownloadToFileA函数,下载“http://www.j***sh.com/khhm.exe”为本地,然后

调用CreateProcessA启动下载的文件。“http://www.j***sh.com/khhm.exe”这个地址现已无效,推断应该也是一个病毒文件。

4.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航