Win32.Troj.ADLoad.an

王朝system·作者佚名 2008-08-14

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

24576

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为Windows平台下的下载广告的木马型病毒，病毒运行后的通过网络下载相关的广告插件，下载后的文件伪装成系统正常文件使用户不易察觉。

病毒主要通过捆绑软件方式进行传播。

1、下载/生成以下文件：

%Windir%\System32\magicap.dll

%Windir%\System32\magicap.ver

%Windir%\System32\magicaptmp.ver

%Windir%\System32\taskmngr.exe

%Windir%\System32\autorun.inf

%Windir%\System32\taskmngrtmp.exe

%Windir%\System32\d11host.exe

%Windir%\System32\magicapf.log

%Windir%\System32\oleauto32.dll

%Windir%\System32\ntcoredll.dll

%Windir%\System32\rpcfap.dll

%Windir%\System32\fileap.dll

%Windir%\System32\fileap.ver

%Windir%\System32\msieinslog.dat

%Windir%\prfexp.dat

%Windir%\secupadf.dat

%Windir%\msimfinst.log

%Windir%\ntcoredlltmp.dll

2、通过可用的网络资源下载以下文件：

http://bms.y****.com/plugin/magicap.ver保存为:%Windir%\system32\magicap.ver

http://bms.y****.com/plugin/taskmngr.exe保存为:%Windir%\system3\taskmngr.exe

3、将%windir%\system32\spydll.dll注入explorer进程

4、写入注册表项:

[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"

[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved]

{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

d11host="C:\\WINNT\\System32\\d11host.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

GinaDLL="rpcfap.dll"