| 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Agent.208896

来源:互联网  宽屏版  评论
2008-08-14 23:08:43

病毒名称(中文):

伪装进程下载器208896

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马下载器

病毒长度:

208896

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。

1.程序运行后,生成文件

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507

C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat

并且修改IE缓冲区中的文件.

2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、

internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下

相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows文件保护”的窗口,若找到则通过API函

数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数

InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运

行;破坏系统和盗取帐号信息。

3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。

病毒名称(中文): 伪装进程下载器208896 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 208896 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个木马下载程序。该程序图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。 1.程序运行后,生成文件 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat 并且修改IE缓冲区中的文件. 2.该木马被执行后,通过API函数GetModuleFileNameA获取当前模块对应的文件名,之后依次与以下文件名:conime.exe、 internat.exe、ctfmon.exe、explorer.exe进行比较,若发现与某个文件名相同,则执行目录%systemroot%\system32\dllcache下 相同名称的程序,欺骗用户误认为是正常的系统文件;开启一线程查找窗口名为“Windows文件保护”的窗口,若找到则通过API函 数ShowWindow将其隐藏;通过API函数URLDownloadToCacheFileA将如下网址中含有下载列表的文件下载到缓冲区,通过API函数 InternetOpenA、InternetOpenUrlA、InternetReadFile依次访问下载列表中的网站,将多种病毒和木马程序下载到本地%temp%并运 行;破坏系统和盗取帐号信息。 3.遍历进程检测当前进程中是否存在AVP.exe,若存在则修改当前系统时间,使其不能正常运行。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有