|
|
|
技术角度详尽解析木马武装下载器69632http://www.sina.com.cn 2008年04月21日 09:08 赛迪网
作者:king 【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中,执行秘密下载。 病毒名称(中文):武装下载器69632 威胁级别:★★☆☆☆ 病毒类型:木马下载器 病毒长度:69632 影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为: 这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中,执行秘密下载。同时,该木马会试图关闭系统自带的错误报告系统和部分杀毒软件,防止用户对它进行查杀。 1.关闭系统错误报告服务(ERSvc): 修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting的DoReport、ShowUI、ReportBootOk,键为0。 2.修改注册表项,隐藏文件
键值:"CheckedValue"=dword:00000000。 3.修改日期: 修改系统日期为2005年。 4.创建c:\autorun.inf 文件。
5.修改注册表、新建服务,并以服务的方式达到随机启动的目的:
6.查找对话框窗口,判断窗口类是否为"Button",窗口名为"是(&Y)",如果是则向该窗口发送左键按下消息,以关闭该窗口。 7.查找是否存在KAVStart进程,如果存在则向其"操作"菜单发送"退出"命令。 8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。 (责任编辑:李磊)
【发表评论 】
不支持Flash
|