| 订阅 | 在线投稿
分享
 
 
 

Win32.Virtu.e

来源:互联网  宽屏版  评论
2008-08-14 22:52:36

病毒名称(中文):

古董

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

其它

病毒长度:

9108

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个变形感染病毒,该病毒会感染机器上的可执行文件,挂钩系统API进行被动感染,

连接远程IRC服务器,接收指令,下载指定的文件。

1.创建事件:

"VT_3"

2.创建内存映像:

"W32Map_Virtu"

3.挂钩以下系统API

ntdll.ZwCreateFile

ntdll.ZwOpenFile

ntdll.ZwCreateProcess

4.尝试打开注册表:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

TargetHost

5.感染后缀为:EXE和SCR的可执行文件:

假如文件名以下面的开始,则不感染

WINC

WCUN

WC32

PSTO

6.连接IRC服务器:

proxim.ircgalaxy.pl

加入频道:

#virtu

接收远程指令。

7.病毒内附加的内容:

Theglacier"sgrayadorneditselfforyou

Todaywithroses;

Thebrookseeksyou,

andfulloflongingrises

Thewind,thecloud,

intothevaultingblue

Tolookforyoufromdizzybird"s-eyeview

 
病毒名称(中文): 古董 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 其它 病毒长度: 9108 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个变形感染病毒,该病毒会感染机器上的可执行文件,挂钩系统API进行被动感染, 连接远程IRC服务器,接收指令,下载指定的文件。 1.创建事件: "VT_3" 2.创建内存映像: "W32Map_Virtu" 3.挂钩以下系统API ntdll.ZwCreateFile ntdll.ZwOpenFile ntdll.ZwCreateProcess 4.尝试打开注册表: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer TargetHost 5.感染后缀为:EXE和SCR的可执行文件: 假如文件名以下面的开始,则不感染 WINC WCUN WC32 PSTO 6.连接IRC服务器: proxim.ircgalaxy.pl 加入频道: #virtu 接收远程指令。 7.病毒内附加的内容: Theglacier"sgrayadorneditselfforyou Todaywithroses; Thebrookseeksyou, andfulloflongingrises Thewind,thecloud, intothevaultingblue Tolookforyoufromdizzybird"s-eyeview
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有