请输入您要查询的百科知识:

 

词条 Win32.Troj.Maran.bo
释义

§ 简介

威胁级别:★

病毒类型:木马

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

§ 病毒行为

该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码,并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒,以免中毒造成损失。

1、生成的文件

C:\\WINNT\\system32\\hs4viewer.dll

C:\\WINNT\\avp.exe

2、添加驱动

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"Type" = "0x1"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"Start" = 0x2"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"ImagePath" = "\\SystemRoot\\System32\\drivers\\ws2ifsl.sys"

HKLM\\System\\CurrentControlSet\\Services\\WS2IFSL

"DisplayName" = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"

3、添加伪系统服务

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"Type" = "0x10"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"Start" = "0x2"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"ImagePath" = "C:\\WINNT\\avp.exe"

HKLM\\System\\CurrentControlSet\\Services\\VGADown

"DisplayName" = "Audio Adapter"

4、修改SPI,其DLL路径为C:\\WINNT\\system32\\hs4viewer.dll。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WinSock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\000000000001

5、在系统目录下生成delplme.bat批处理文件实现自删除。

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/11 12:26:04