金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.TrojDownloader.Unknown.105984
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建进程将自身复制到%system%BITS.DLL 2. 增加注册表项,名称为ServiceDll,值为自身的程序名 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITSParameters
行为分析:
这是一个具有盗号功能的木马下载器。它运行后会下载自己的另一个模块,然后记录用户操作电脑时所输入的数据。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建进程将自身复制到%system%BITS.DLL 2. 增加注册表项,名称为ServiceDll,值为自身的程序名 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITSParameters
行为分析:
这是一个具有盗号功能的木马下载器。它运行后会下载自己的另一个模块,然后记录用户操作电脑时所输入的数据。
描述:
1. 创建进程将自身复制到%system%BITS.DLL
2. 增加注册表项,名称为ServiceDll,值为自身的程序名
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITSParameters
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesBITSParameters
3. 以BITS为服务名启动自身的DLL,并设置为自启动
4. 提权创建自身的文件映射,映射名为_kaspersky
5. 提供一个ServiceMain的导出函数,其主要功能如下:
a. 修改360在注册表中的信息,并找到进程将其关闭
b. 创建线程读取%system%install.dat,为kvmon.exe创建进程运行,若读取文件失败,则从http://www.q***y.com/images/kvmon.exe下载kvmon.exe文件并创建进程运行,下载的位置在调用该DLL的程序目录下
c. 读取run.dat的内容,根据其内容运行程序
d. 创建线程记录当前窗口以及键入的内容和时间,写入到当前目录的info.dat目录下,并发送到xwd***2008.3322.org:8000
1. 创建进程将自身复制到%system%BITS.DLL
2. 增加注册表项,名称为ServiceDll,值为自身的程序名
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITSParameters
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesBITSParameters
3. 以BITS为服务名启动自身的DLL,并设置为自启动
4. 提权创建自身的文件映射,映射名为_kaspersky
5. 提供一个ServiceMain的导出函数,其主要功能如下:
a. 修改360在注册表中的信息,并找到进程将其关闭
b. 创建线程读取%system%install.dat,为kvmon.exe创建进程运行,若读取文件失败,则从http://www.q***y.com/images/kvmon.exe下载kvmon.exe文件并创建进程运行,下载的位置在调用该DLL的程序目录下
c. 读取run.dat的内容,根据其内容运行程序
d. 创建线程记录当前窗口以及键入的内容和时间,写入到当前目录的info.dat目录下,并发送到xwd***2008.3322.org:8000
回复
评论病毒
