| 订阅 | 在线投稿
分享
 
 
 

Win32.Sality.k

来源:互联网  宽屏版  评论
2008-08-14 22:40:34

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

其它

病毒长度:

23552

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Win32平台下感染可执行程序的PE病毒,病毒运行后复制病毒体至系统目录,检测用户机器上的可执行程序并进行感染;病毒通过检测微软的官方站点来判定用户机器网络连接状态,当网络可用时,病毒向病毒作者指定网站上下载后门、木马等,给用户安全造成威胁。

该病毒主要通过下载/安装被感染的程序进行传播。

1、病毒运行后释放一个迷惑用户的病毒体文件到系统目录下:

%system%\wmimgr32.dll

该DLL大小为23552字节。

2、加载该dll,dll加载过程中读取/写入%WinRoot%\system.ini内容,如:

[mcidrv32]

VideoVer=1234683

_hr=13

_dr=1

WININET=1

3、读取注册表项中的自启动程序,进行感染。

枚举注册表中的自启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4、扫描系统中的可执行程序并进行感染,感染时会加密原程序的入口代码。

5、通过连接微软的官方网站www.microsoft.com来判定网络状态,当网络已经连接时,病毒

通过连接以下网站下载病毒作者存放的后门、木马等:

www.xxxkuku.com

www.xxxnet11581q.com

病毒名称(中文): 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 其它 病毒长度: 23552 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 该病毒为Win32平台下感染可执行程序的PE病毒,病毒运行后复制病毒体至系统目录,检测用户机器上的可执行程序并进行感染;病毒通过检测微软的官方站点来判定用户机器网络连接状态,当网络可用时,病毒向病毒作者指定网站上下载后门、木马等,给用户安全造成威胁。 该病毒主要通过下载/安装被感染的程序进行传播。 1、病毒运行后释放一个迷惑用户的病毒体文件到系统目录下: %system%\wmimgr32.dll 该DLL大小为23552字节。 2、加载该dll,dll加载过程中读取/写入%WinRoot%\system.ini内容,如: [mcidrv32] VideoVer=1234683 _hr=13 _dr=1 WININET=1 3、读取注册表项中的自启动程序,进行感染。 枚举注册表中的自启动项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4、扫描系统中的可执行程序并进行感染,感染时会加密原程序的入口代码。 5、通过连接微软的官方网站www.microsoft.com来判定网络状态,当网络已经连接时,病毒 通过连接以下网站下载病毒作者存放的后门、木马等: www.xxxkuku.com www.xxxnet11581q.com
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有