Win32.hack.Agent.36864

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

文件夹下载器36864

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

36864

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标,扩展名为exe,骗过用户的注重或诱惑用户点击。

1.程序运行后,生成文件

%system32%\Security.exe

2.病毒修改注册表键值:

项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:DisplayName

指向数据:PerformanceLogsandAle

项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:ImagePath

指向文件:%systemroot%\system32\Security.exe

项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:Description

指向数据:IntelRegistryService

项:HKLM\SYSTEM\CurrentControlSet\Services\Privilege键值:Start

指向数据:02

3.木马执行后,检测%system32%\drivers目录下是否存在驱动文件klif.sys,假如存在则以命令行的方式修改系统时间,使部分杀毒软件不能正常使用;

拷贝自身到system32目录下,重命名为Security.exe,修改文件属性为隐藏、系统;用SCM写注册表项将Security.exe注册成名为Privilege的服务,

通过使用相关函数启动被注册的服务;通过相关API函数运行Security.exe;

4.Security.exe运行后,开启一线程关闭“IE执行保护”与“瑞星卡卡上网安全助手-IE防漏墙”的安全提示;开启一IEXPLORE.EXE进程,申请内存空间将

病毒一部分代码写入,并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀,并访问恶意网站下载其它病毒程序并运行;遍历盘符在移动存储介质中

释放隐藏病毒文件和autorun.inf,使用Windows自动播放功能来传播病毒;以批处理的方式将病毒原文件删除。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航