病毒名称(中文):
远程木马718996
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
961312
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。会在磁盘中释放出文件,会修改注册表。然后连接远程网址,上传用户系统信息,并等待黑客命令。
行为分析:
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\rnmxajkl.sys
C:\WINDOWS\SYSTEM32\nhmxcjkl.dll
C:\WINDOWS\SYSTEM32\lpmxajkl.exe
在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM32\nhmxcjkl.dll
C:\WINDOWS\SYSTEM32\lpmxajkl.exe
在注册表中创建了以下信息:
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32"
在注册表中设置了以下信息:
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32""""C:\WINDOWS\SYSTEM32\nhmxcjkl.dll"
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32""ThreadingModel""Apartment"
病毒会连接作者指定的网址:
域名:"42.**.241.118"端口:80(TCP)
42.**.241.118/image/logo.jpg?queryid=80142
在系统中创建了以下进程:
病毒创建了一个CLSID为{FCFB3D23-A0FA-1068-A738-08002B3371B5}类名为VBRuntime的COM组件
病毒创建了一个CLSID为{E93AD7C1-C347-11D1-A3E2-00A0C90AEA82}类名为VBRuntime6的COM组件