金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.TrojDownloader.PurityScan.71168
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
行为分析:
这是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀,进行了较多的伪装,并且释放出的病毒文件路径及文件名均可变。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
行为分析:
这是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀,进行了较多的伪装,并且释放出的病毒文件路径及文件名均可变。
描述:
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
2.模仿正常软件执行过程,在注册表如下位置写入信息:
HKCUSoftwareAcat,"ohsu"=2c 03 45 63(无用的16进制数)。
HKCUSoftwareCebs "Aacu"=24 12 45 65(无用的16进制数)。
3.在一可变路径下新建目录,在该目录下释放病毒副本文件,副本文件名也为可变,通过观察病毒副本文件可能位于:
c:Documents and Setting[username]Application Datasystem32explorer.exe,
c:programs Filessecurityscanregw.exe;
副本文件路径有多种,不一一列出。
4.病毒创建自启动项来使释放的副本文件随系统加载:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,
"ocss"=c:programs Filessecurityscanregw.exe -vt tzt(该值当前释放的病毒副本全路径)
5.病毒运行以参数-vt tzt运行所释放的副本文件;
6.新病毒进程开启后到指定地址读取病毒下载列表,病毒下载列表地址如下:
http://nf.o****info.com/notify.php
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
2.模仿正常软件执行过程,在注册表如下位置写入信息:
HKCUSoftwareAcat,"ohsu"=2c 03 45 63(无用的16进制数)。
HKCUSoftwareCebs "Aacu"=24 12 45 65(无用的16进制数)。
3.在一可变路径下新建目录,在该目录下释放病毒副本文件,副本文件名也为可变,通过观察病毒副本文件可能位于:
c:Documents and Setting[username]Application Datasystem32explorer.exe,
c:programs Filessecurityscanregw.exe;
副本文件路径有多种,不一一列出。
4.病毒创建自启动项来使释放的副本文件随系统加载:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun,
"ocss"=c:programs Filessecurityscanregw.exe -vt tzt(该值当前释放的病毒副本全路径)
5.病毒运行以参数-vt tzt运行所释放的副本文件;
6.新病毒进程开启后到指定地址读取病毒下载列表,病毒下载列表地址如下:
http://nf.o****info.com/notify.php
回复
评论病毒
