Win32.Troj.Monurl

王朝system·作者佚名 2008-08-14

病毒名称(中文):

病毒别名:

Trojan-Downloader.Win32.Monurl.gen[AVP]

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

24579

影响系统:

Win9xWinNT

病毒行为:

该病毒是一个下载器。病毒下载另一个病毒Win32.Hack.Thunk.d并运行。

1.下载网络文件到当前目录，文件名为child.exe（Win32.Hack.Thunk.d），然后运行child.exe。child.exe运行后释放文件为%system%

\child.dll（Win32.Hack.Thunk.d），并通过Rundll32加载该文件。

在当前目录中释放以下文件：

domains

access

map.txt

2.修改注册表。

在注册表中添加项:

HKCU\SOFTWARE\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32"默认"="%System%\child.dll"

HKCU\SOFTWARE\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32"ThreadingModel"="Apartment"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"="OLEAutomationModule"

3.在一个随机端口监听，等待黑客连接。