病毒名称(中文):
脚本连接器1241
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
1241
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个脚本病毒。它可利用网页挂马进行传播,进入系统后会创建系统服务,连接指定的黑客服务器。
这是一个脚本病毒。会在磁盘中释放出文件,会修改注册表,会创建系统服务。
行为分析:
在磁盘中释放出以下文件:
C:\WINDOWS\MDHVGE.DAT
C:\WINDOWS\CAGTUA.DAT
C:\WINDOWS\dtoolss.exe
在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services""ImagePath""C:\WINDOWS\dtoolss.exe"
"HKLM\System\CurrentControlSet\Services""DisplayName""dtoolss.exe"
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
在系统中创建了以下进程:
病毒尝试使用[SeDebugPrivilege]权限枚举进程
病毒会创建了一个互斥体Hacker.com.cn_MUTEX,防止重复运行
"dtoolss.exe"
在系统中创建了以下服务:
服务名:"(dtoolss.exe)"
映像路径:"C:\WINDOWS\dtoolss.exe"
病毒会通过以下途径传播:
病毒会利用网络进行传播