| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.OnlineGameT.bd.65697

來源:互聯網  2008-08-14 23:08:46  評論

病毒名稱(中文):

時間機器下載器65697

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

65697

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個木馬下載器。該程序主要通過網頁木馬、文件捆綁方式傳播,它會修改系統時間,使得殺毒軟件卡巴斯基無法正常運行。

1.程序運行後,生成文件

C:\WINDOWS\WINSvr32.exE

C:\WINDOWS\system32\WINSvr32.dll

2.注冊表添加啓動項:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

WINSvr32"C:\WINDOWS\WINSvr32.exE"

3.病毒會首先查找互斥事件「EFIOPYKLX」,然後遍曆進程,搜索explorer.exe進程。

找到explorer.exe進程後,將病毒代碼注入目標進程。在內存中病毒寫入了下載地址「http://www.X**X.com/khhm.exe「

以及提前獲取的函數地址和信息:注入完成後,病毒通過調用CreateRemoteThread啓動注入的代碼,在注入的遠程代碼中,

病毒裝載urlmon.dll,然後獲取和調用URLDownloadToFileA函數,下載「http://www.j***sh.com/khhm.exe」爲本地,然後

調用CreateProcessA啓動下載的文件。「http://www.j***sh.com/khhm.exe」這個地址現已無效,推斷應該也是一個病毒文件。

4.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。

病毒名稱(中文): 時間機器下載器65697 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 65697 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載器。該程序主要通過網頁木馬、文件捆綁方式傳播,它會修改系統時間,使得殺毒軟件卡巴斯基無法正常運行。 1.程序運行後,生成文件 C:\WINDOWS\WINSvr32.exE C:\WINDOWS\system32\WINSvr32.dll 2.注冊表添加啓動項: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINSvr32 "C:\WINDOWS\WINSvr32.exE" 3.病毒會首先查找互斥事件「EFIOPYKLX」,然後遍曆進程,搜索explorer.exe進程。 找到explorer.exe進程後,將病毒代碼注入目標進程。在內存中病毒寫入了下載地址「http://www.X**X.com/khhm.exe「 以及提前獲取的函數地址和信息:注入完成後,病毒通過調用CreateRemoteThread啓動注入的代碼,在注入的遠程代碼中, 病毒裝載urlmon.dll,然後獲取和調用URLDownloadToFileA函數,下載「http://www.j***sh.com/khhm.exe」爲本地,然後 調用CreateProcessA啓動下載的文件。「http://www.j***sh.com/khhm.exe」這個地址現已無效,推斷應該也是一個病毒文件。 4.遍曆進程檢測當前進程中是否存在AVP.exe,若存在則修改當前系統時間,使其不能正常運行。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有