| 词条 | Trojan.Win32.Dialer.qi |
| 释义 | Trojan.Win32.Dialer.qi 属木马类,病毒图标是moviemk.exe图标,用以迷惑用户点击。病毒运行后,在系统盘中衍生病毒文件,修改注册表,联接网络,开启端口,以达到修改IE主页的目的。文件MD5: 6F9CDED1508D88B280B8DFA8146C117F。公开范围完全公开。危害等级中等。文件长度为15,176 字节。能感染Windows98 以上版本,开发工具为MASM32 。加壳类型是UPX 0.89.6 - 1.02 行为分析:1、病毒运行后,在系统盘中衍生病毒文件: %Documents and Settings%\\commander\\My Documents\\accesso.lnk %Documents and Settings%\\commander\\My Documents\\plug&play.lnk 病毒所在目录\\accesso.lnk 病毒所在目录\\plug&play.lnk 2、修改注册表: HKEY_CURRENT_USER\\Software\\Microsoft \\Internet Explorer\\Main 键值: 字串: "Start Page "="www.other******.com/?rid=355" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Enum\\Root\\LEGACY_RASMAN\\0000\\ 键值: 字串: "Control"="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root \\LEGACY_RASMAN\\0000\\Control\\ 键值: 字串: "ActiveService "="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root \\LEGACY_TAPISRV\\0000\\ 键值: 字串: "Control "="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root \\LEGACY_TAPISRV\\0000\\Control 键值: 字串: " ActiveService "="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum \\Root\\LEGACY_RASMAN\\0000\\ 键值: 字串: "Control"="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum \\Root\\LEGACY_RASMAN\\0000 \\Control\\ 键值: 字串: "ActiveService "="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum \\Root\\LEGACY_TAPISRV\\0000\\ 键值: 字串: "Control"="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum \\Root\\LEGACY_TAPISRV\\0000 \\Control\\ 键值: 字串: "ActiveService "="TapiSrv" 3、连接网络,开启端口,以达到修改IE主页的目的: 协议: TCP TCP 端口: 1097 1098 IP: 66.98.244.56 66.98.244.56 随机开启本地1024以上端口,如:1096 注:% Documents and Settings %是一个可变路径。病毒通过查询操作系统来决定当前Documents and Settings文件夹的位置。Windows操作系统中默认的安装路径是C:\\ Documents and Settings。 清除方案:1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 %Documents and Settings%\\commander\\My Documents\\accesso.lnk %Documents and Settings%\\commander\\My Documents\\plug&play.lnk 病毒所在目录\\accesso.lnk 病毒所在目录\\plug&play.lnk (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft \\Internet Explorer\\Main 键值: 字串: "Start Page "="www.other ******.com/?rid=355" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Enum\\Root\\LEGACY_RASMAN\\0000\\ 键值: 字串: "Control"="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum \\Root\\LEGACY_RASMAN\\0000\\Control\\ 键值: 字串: "ActiveService "="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum \\Root\\LEGACY_TAPISRV\\0000\\ 键值: 字串: "Control "="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum \\Root\\LEGACY_TAPISRV\\0000\\Control 键值: 字串: " ActiveService "="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Enum\\Root\\LEGACY_RASMAN\\0000\\ 键值: 字串: "Control"="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Enum\\Root\\LEGACY_RASMAN\\0000 \\Control\\ 键值: 字串: "ActiveService "="RasMan" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Enum\\Root\\LEGACY_TAPISRV\\0000\\ 键值: 字串: "Control"="TapiSrv" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Enum\\Root\\LEGACY_TAPISRV\\0000 \\Control\\ 键值: 字串: "ActiveService "="TapiSrv" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。