| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.hack.Agent.36864

來源:互聯網  2008-08-14 23:08:56  評論

病毒名稱(中文):

文件夾下載器36864

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬下載器

病毒長度:

36864

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個木馬下載風險程序。它主要通過網頁木馬、文件捆綁、移動存儲介質方式傳播。木馬的圖標會僞裝成Windows默認的可執行文件圖標,擴展名爲exe,騙過用戶的注重或誘惑用戶點擊。

1.程序運行後,生成文件

%system32%\Security.exe

2.病毒修改注冊表鍵值:

項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:DisplayName

指向數據:PerformanceLogsandAle

項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:ImagePath

指向文件:%systemroot%\system32\Security.exe

項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Description

指向數據:IntelRegistryService

項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Start

指向數據:02

3.木馬執行後,檢測%system32%\drivers目錄下是否存在驅動文件klif.sys,假如存在則以命令行的方式修改系統時間,使部分殺毒軟件不能正常使用;

拷貝自身到system32目錄下,重命名爲Security.exe,修改文件屬性爲隱藏、系統;用SCM寫注冊表項將Security.exe注冊成名爲Privilege的服務,

通過使用相關函數啓動被注冊的服務;通過相關API函數運行Security.exe;

4.Security.exe運行後,開啓一線程關閉「IE執行保護」與「瑞星卡卡上網安全助手-IE防漏牆」的安全提示;開啓一IEXPLORE.EXE進程,申請內存空間將

病毒一部分代碼寫入,並通過相關函數激活病毒代碼進行代碼注入逃避殺毒軟件的查殺,並訪問惡意網站下載其它病毒程序並運行;遍曆盤符在移動存儲介質中

釋放隱藏病毒文件和autorun.inf,使用Windows自動播放功能來傳播病毒;以批處理的方式將病毒原文件刪除。

病毒名稱(中文): 文件夾下載器36864 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 36864 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載風險程序。它主要通過網頁木馬、文件捆綁、移動存儲介質方式傳播。木馬的圖標會僞裝成Windows默認的可執行文件圖標,擴展名爲exe,騙過用戶的注重或誘惑用戶點擊。 1.程序運行後,生成文件 %system32%\Security.exe 2.病毒修改注冊表鍵值: 項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:DisplayName 指向數據:PerformanceLogsandAle 項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:ImagePath 指向文件:%systemroot%\system32\Security.exe 項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Description 指向數據:IntelRegistryService 項:HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值:Start 指向數據:02 3.木馬執行後,檢測%system32%\drivers目錄下是否存在驅動文件klif.sys,假如存在則以命令行的方式修改系統時間,使部分殺毒軟件不能正常使用; 拷貝自身到system32目錄下,重命名爲Security.exe,修改文件屬性爲隱藏、系統;用SCM寫注冊表項將Security.exe注冊成名爲Privilege的服務, 通過使用相關函數啓動被注冊的服務;通過相關API函數運行Security.exe; 4.Security.exe運行後,開啓一線程關閉「IE執行保護」與「瑞星卡卡上網安全助手-IE防漏牆」的安全提示;開啓一IEXPLORE.EXE進程,申請內存空間將 病毒一部分代碼寫入,並通過相關函數激活病毒代碼進行代碼注入逃避殺毒軟件的查殺,並訪問惡意網站下載其它病毒程序並運行;遍曆盤符在移動存儲介質中 釋放隱藏病毒文件和autorun.inf,使用Windows自動播放功能來傳播病毒;以批處理的方式將病毒原文件刪除。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有