Win32.Troj.Agent.bk.348160

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

流氓下载器348160

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

76404

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载器。它会从指定的地址下载一些流氓软件,运行完毕后还会删除自己释放出的文件。

1.通过"3c93c6661ed2c2"种子循环解密流氓软件下载地址http://888.xxx.cn/pw.ini

2.创建%windir%\(*).tmp(*为数字如5),将pw.ini文件内容写入。

[main]

u=http://219.xxxx.34.9/fuckwer/sss.exe

c=/S

3.获取文件中的流氓软件下载地址后删除上面创建的(*).tmp

4.创建%windir%\(*).tmp(*为数字如6),将sss.exe文件内容写入。

5.解密kernel32.dll和CreateProcessA,然后用LoadLibraryAkernel32.dll,用GetProcAddressCreateProcessA,然后以/s参数来运行下载后的(*).tmp

%windir%\(*).tmp/s

6.以/s参数来运行下载后的(*).tmp

7.删除(*).tmp

8.退出自己进程

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航