金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒行为: 1.将文件中释放的文件名及路径,创建的服务名,描述信息等数据解密,解密方式为简单异或。 2.释放文件X:windowssystem32zomdvkev.dll
行为分析:
该文件是个后门程序。加载后首先解密预设的数据,根据解密出来的数据确定释放的文件名及路径,创建的服务名,描述信息等。然后在系统中创建服务,留下后门端口。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒行为: 1.将文件中释放的文件名及路径,创建的服务名,描述信息等数据解密,解密方式为简单异或。 2.释放文件X:windowssystem32zomdvkev.dll
行为分析:
该文件是个后门程序。加载后首先解密预设的数据,根据解密出来的数据确定释放的文件名及路径,创建的服务名,描述信息等。然后在系统中创建服务,留下后门端口。
描述:
病毒行为:
1.将文件中释放的文件名及路径,创建的服务名,描述信息等数据解密,解密方式为简单异或。
2.释放文件X:windowssystem32zomdvkev.dll
X:WINDOWSsystem32driverszomdvkev.sys
文件时间属性设置与X:windowssystem32svchost.exe一致以隐藏自身。
3.加载所释放的C:WINDOWSsystem32zomdvkev.dll,利用这个dll来创建服务。首先检查系统中是否存在服务zomdvkev,存在则删除该服务重建,如不存在则创建服务zomdvkev。
4.创建注册表项
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows NTCurrentVersionSvcHost,
“zomdvkev”=zomdvkev;
HKLMSYSTEMCurrentControlSetServiceszomdvkevParameters,
"ServiceDll"=%SystemRoot%SYSTEM32zomdvkev.dll;
设置上述服务开启方式为开机启动;服务描述信息为Microsoft .NET Framework TPM;
创建注册表项
HKLMSYSTEMControlSet001Serviceszomdvkev;
HKLMSYSTEMControlSet002Serviceszomdvkev;
HKLMSYSTEMControlSet003Serviceszomdvkev;
各子项值设置与HKLMSYSTEMCurrentControlSetServiceszomdvkev相同;
5.启动服务zomdvkev,连接指定地址接受指令;
病毒行为:
1.将文件中释放的文件名及路径,创建的服务名,描述信息等数据解密,解密方式为简单异或。
2.释放文件X:windowssystem32zomdvkev.dll
X:WINDOWSsystem32driverszomdvkev.sys
文件时间属性设置与X:windowssystem32svchost.exe一致以隐藏自身。
3.加载所释放的C:WINDOWSsystem32zomdvkev.dll,利用这个dll来创建服务。首先检查系统中是否存在服务zomdvkev,存在则删除该服务重建,如不存在则创建服务zomdvkev。
4.创建注册表项
HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows NTCurrentVersionSvcHost,
“zomdvkev”=zomdvkev;
HKLMSYSTEMCurrentControlSetServiceszomdvkevParameters,
"ServiceDll"=%SystemRoot%SYSTEM32zomdvkev.dll;
设置上述服务开启方式为开机启动;服务描述信息为Microsoft .NET Framework TPM;
创建注册表项
HKLMSYSTEMControlSet001Serviceszomdvkev;
HKLMSYSTEMControlSet002Serviceszomdvkev;
HKLMSYSTEMControlSet003Serviceszomdvkev;
各子项值设置与HKLMSYSTEMCurrentControlSetServiceszomdvkev相同;
5.启动服务zomdvkev,连接指定地址接受指令;
回复
评论病毒
