金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒经过加壳处理 运行后释放复制自身到下列目录: %sys32dir%service.exe 添加注册表 1 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_TRACKINGSS
行为分析:
这是一个黑客木马程序。它表面上是个《传奇》游戏的私服插件,能自动练级,但却会在后台悄悄下载病毒木马。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒经过加壳处理 运行后释放复制自身到下列目录: %sys32dir%service.exe 添加注册表 1 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_TRACKINGSS
行为分析:
这是一个黑客木马程序。它表面上是个《传奇》游戏的私服插件,能自动练级,但却会在后台悄悄下载病毒木马。
描述:
病毒经过加壳处理
运行后释放复制自身到下列目录:
%sys32dir%service.exe
添加注册表
1 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_TRACKINGSS
2 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTrackingSS
3 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVxdTrackingSS
创建系统服务启动:
Key: "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTrackingSS"
ImagePath: "C:WINNTSystem32service.exe"
DisplayName: "Distributed Link Tracking Client Service"
ObjectName: "LocalSystem"
病毒运行后连接"802.d***f.com",这是另外一个传奇私服网站,从这个地址获取参数和命令行,
如果参数为"M2:"的话,病毒会打开一个记事本程序,然后注入记事本,内容为登录"Mir182"这个私服,设置多段的sleep,每隔一段时间,就会刷屏骂人,内容为国骂,见人骂人,见佛骂佛;创建线程登录mir182私服,自动整理身上的装备,外挂练级。
如果参数是"DOWNLOAD:"的话,则会从获取的地址下载其他病毒到系统目录下执行。
如果参数是"REMOVE:"的话,病毒会删除TrackingSS服务,删除自身。
病毒经过加壳处理
运行后释放复制自身到下列目录:
%sys32dir%service.exe
添加注册表
1 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_TRACKINGSS
2 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTrackingSS
3 = HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesVxdTrackingSS
创建系统服务启动:
Key: "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTrackingSS"
ImagePath: "C:WINNTSystem32service.exe"
DisplayName: "Distributed Link Tracking Client Service"
ObjectName: "LocalSystem"
病毒运行后连接"802.d***f.com",这是另外一个传奇私服网站,从这个地址获取参数和命令行,
如果参数为"M2:"的话,病毒会打开一个记事本程序,然后注入记事本,内容为登录"Mir182"这个私服,设置多段的sleep,每隔一段时间,就会刷屏骂人,内容为国骂,见人骂人,见佛骂佛;创建线程登录mir182私服,自动整理身上的装备,外挂练级。
如果参数是"DOWNLOAD:"的话,则会从获取的地址下载其他病毒到系统目录下执行。
如果参数是"REMOVE:"的话,病毒会删除TrackingSS服务,删除自身。
回复
评论病毒
