金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.Agent.km.52224
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建线程explorer.exe,删除自身 2. 将自身复制到c:WINDOWSsystem32目录下,名字随机生成
行为分析:
这是一个间谍木马程序。它能够记录用户的系统数据和所在地区,以及用户使用搜索引擎时输入的关键词,然后将这些信息发送给病毒作者。该毒有一个特点,就是病毒作者可以给它指定发作地区。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建线程explorer.exe,删除自身 2. 将自身复制到c:WINDOWSsystem32目录下,名字随机生成
行为分析:
这是一个间谍木马程序。它能够记录用户的系统数据和所在地区,以及用户使用搜索引擎时输入的关键词,然后将这些信息发送给病毒作者。该毒有一个特点,就是病毒作者可以给它指定发作地区。
描述:
1. 创建线程explorer.exe,删除自身
2. 将自身复制到c:WINDOWSsystem32目录下,名字随机生成
3. 在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon增加记录system,值为生成的文件名
4. 将自身文件映射到内存,从6*.2*.1*8.221下载文件到该映射,即覆盖文件
5. 检查父进程是否是explorer,若不是则将其关闭
6. 给自身创建并开启服务,服务名为Windows Tribute Service
7. 从IE的缓存中检查访问过的网址
检查IE缓存,将msn、google、yahoo、aol、icq等等搜索引擎所使用过的关键词记录到缓存
检查当前浏览器是iexplore.exe还是firefox.exe,将上面的信息发送给1*1.*9.0.2
8. 检查Control PanelInternational的键值iCountry、Nation判断所在的国家,可以通过此处来设定在特定的国家执行该病毒,这里没有设定
9. 将系统目录下的exe文件创建进程执行一次,然后关闭,得到一个能执行的exe文件,然后再创建进程执行,并且调用一组API将得到的信息写入到该进程申请的空间中去
10. 打开explorer.exe进程,将自身代码以及信息注入进去,然后恢复线程执行
1. 创建线程explorer.exe,删除自身
2. 将自身复制到c:WINDOWSsystem32目录下,名字随机生成
3. 在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon增加记录system,值为生成的文件名
4. 将自身文件映射到内存,从6*.2*.1*8.221下载文件到该映射,即覆盖文件
5. 检查父进程是否是explorer,若不是则将其关闭
6. 给自身创建并开启服务,服务名为Windows Tribute Service
7. 从IE的缓存中检查访问过的网址
检查IE缓存,将msn、google、yahoo、aol、icq等等搜索引擎所使用过的关键词记录到缓存
检查当前浏览器是iexplore.exe还是firefox.exe,将上面的信息发送给1*1.*9.0.2
8. 检查Control PanelInternational的键值iCountry、Nation判断所在的国家,可以通过此处来设定在特定的国家执行该病毒,这里没有设定
9. 将系统目录下的exe文件创建进程执行一次,然后关闭,得到一个能执行的exe文件,然后再创建进程执行,并且调用一组API将得到的信息写入到该进程申请的空间中去
10. 打开explorer.exe进程,将自身代码以及信息注入进去,然后恢复线程执行
回复
评论病毒
