病毒名称(中文):
天眼广告750630
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
750630
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个病毒是个远程控制后门。它伪装成正常文件,诱骗用户点击,运行后注入IE进程,弹出广告窗口,并建立远程控制后门,便于黑客窃取本机资料或者做其他操作。
1,文件为了做免杀,加密了一部分指令数据,解密后跳转到正常入口执行;
2,释放如下文件%Windows%\Server.DLL,%Windows%\Server.exe,%Windows%\ServerHooK.DLL;
3,增加注册表项HKLM\System\CurrentControlSet\Enum\Root\LEGACY_TIANYAN_SERVER及子项,启动TianYan_Server服务项;
4,释放的DLL注入到IEXPLORER.exe进程,有可能进行弹窗等操作.
5,等待远程连接,实现远程操控.