“Win32.Troj.FakePhoto”的意思、由来-中文百科全书

简介

病毒别名：

处理时间：

威胁级别：★★

中文名称：图片黑手

病毒类型：木马

影响系统：Win9x / WinNT

该病毒显示为一个图片文件的图标，迷惑用户去打开，然后病毒显示出一副图片，病毒就悄悄地在后台运行了。该病毒首先会搜索内存中的反病毒软件，如金山网镖、天网防火墙、木马克星、瑞星等，一旦找到就将其关闭，并且删除该进程的所在目录下的所有子目录以及文件；病毒将自己复制到系统多个目录下面，并修改可执行程序关联到病毒，使得用户一运行正常程序都可能激活病毒；病毒将自己加载到注册表得启动项，并且修改注册表使得文件管理器不显示隐藏文件以及文件扩展名，使用户更难发觉病毒得存在；病毒修改注册表禁止用户打开任务管理器以及禁止编辑注册表。病毒到指定的网址下载文件并运行；将自己复制到搜索到的局域网可写目录，以感染更多用户；病毒还添加带密码的管理员帐号，为黑客大开方便之门；开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息等。

过程

1.枚举进程，尝试关闭以下反病毒软件的进程，然后删除该进程的所在目录下的所有子目录以及文件。

pfw.exe

kvfw.exe

KAVPFW.EXE

iamapp.exe

nmain.exe

freepp.EXE

freekav.EXE

freesys.EXE

Iparmor.exe

trojan_hunter.exe

Rfw.exe

rav

taskmgr.exe

2.搜索注册表，删除以下反病毒软件的启动项，删除对应文件。

HLM\\SoftWare\\Microsoft\\windows\\CurrentVersion\\Run

"SKYNET Personal FireWall"

"iDuba Personal FireWall"

"iamapp"

"rfw"

"popproxy"

"RavMon"

"RavTimer"

HLM\\SoftWare\\Microsoft\\windows\\CurrentVersion\\RunServices

"RavMon"

HCU\\SoftWare\\Microsoft\\windows\\CurrentVersion\\Run

"KVFW"

3.创建目录 %SystemRoot%\\temp，将自身复制为：%SystemRoot%\\temp\\ssshost.exe并运行，ssshost.exe再将自身复制为%systemRoot%

\\svchost.exe并运行。可能释放文件：%systemRoot%\\svchost.dll，远程注入到系统进程Explorer.exe中。

4.创建互斥量byc001，防止病毒的多个实例运行。

5.修改注册表。

添加注册表主键和键值：

HKLM\\SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run\\

"Microsoft"="%SystemRoot%\\SVCHOST.EXE"

HKLM\\SOFTWARE\\Classes\\exefile\\shell\\open\\command

"%SystemRoot%\\SVCHOST.EXE "%1" %*"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\OHIDDEN\\

"CheckedValue"=dword:0x2

"DefaultValue"=dword:0x2

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableRegistryTools"=dword:0x1

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableTaskMgr"=dword:0x1

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\

"HideFileExt"=dword:0x1

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\

"Hidden"=dword:0x2

HKEY_LOCAL_MACHINE\\SOFTWARE\\mysoft

"Version"=dword:3e9

6.到指定的网址下载文件到本地计算机%systemroot%\\iexplorer.exe并运行。

7.将自身复制到局域网中可写目录，以感染更多计算机。

8.可能添加带密码的管理员帐号。

9.开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息。

词条	Win32.Troj.FakePhoto
释义	简介病毒行为过程简介病毒别名：处理时间：威胁级别：★★ 中文名称：图片黑手病毒类型：木马影响系统：Win9x / WinNT 病毒行为该病毒显示为一个图片文件的图标，迷惑用户去打开，然后病毒显示出一副图片，病毒就悄悄地在后台运行了。该病毒首先会搜索内存中的反病毒软件，如金山网镖、天网防火墙、木马克星、瑞星等，一旦找到就将其关闭，并且删除该进程的所在目录下的所有子目录以及文件；病毒将自己复制到系统多个目录下面，并修改可执行程序关联到病毒，使得用户一运行正常程序都可能激活病毒；病毒将自己加载到注册表得启动项，并且修改注册表使得文件管理器不显示隐藏文件以及文件扩展名，使用户更难发觉病毒得存在；病毒修改注册表禁止用户打开任务管理器以及禁止编辑注册表。病毒到指定的网址下载文件并运行；将自己复制到搜索到的局域网可写目录，以感染更多用户；病毒还添加带密码的管理员帐号，为黑客大开方便之门；开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息等。过程 1.枚举进程，尝试关闭以下反病毒软件的进程，然后删除该进程的所在目录下的所有子目录以及文件。 pfw.exe kvfw.exe KAVPFW.EXE iamapp.exe nmain.exe freepp.EXE freekav.EXE freesys.EXE Iparmor.exe trojan_hunter.exe Rfw.exe rav taskmgr.exe 2.搜索注册表，删除以下反病毒软件的启动项，删除对应文件。 HLM\\SoftWare\\Microsoft\\windows\\CurrentVersion\\Run "SKYNET Personal FireWall" "iDuba Personal FireWall" "iamapp" "rfw" "popproxy" "RavMon" "RavTimer" HLM\\SoftWare\\Microsoft\\windows\\CurrentVersion\\RunServices "RavMon" HCU\\SoftWare\\Microsoft\\windows\\CurrentVersion\\Run "KVFW" 3.创建目录 %SystemRoot%\\temp，将自身复制为：%SystemRoot%\\temp\\ssshost.exe并运行，ssshost.exe再将自身复制为%systemRoot% \\svchost.exe并运行。可能释放文件：%systemRoot%\\svchost.dll，远程注入到系统进程Explorer.exe中。 4.创建互斥量byc001，防止病毒的多个实例运行。 5.修改注册表。添加注册表主键和键值： HKLM\\SoftWare\\MicroSoft\\Windows\\CurrentVersion\\Run\\ "Microsoft"="%SystemRoot%\\SVCHOST.EXE" HKLM\\SOFTWARE\\Classes\\exefile\\shell\\open\\command "%SystemRoot%\\SVCHOST.EXE "%1" %*" HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\OHIDDEN\\ "CheckedValue"=dword:0x2 "DefaultValue"=dword:0x2 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ "DisableRegistryTools"=dword:0x1 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ "DisableTaskMgr"=dword:0x1 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ "HideFileExt"=dword:0x1 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ "Hidden"=dword:0x2 HKEY_LOCAL_MACHINE\\SOFTWARE\\mysoft "Version"=dword:3e9 6.到指定的网址下载文件到本地计算机%systemroot%\\iexplorer.exe并运行。 7.将自身复制到局域网中可写目录，以感染更多计算机。 8.可能添加带密码的管理员帐号。 9.开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息。
随便看	森下钓云森下高美森下敬一森下俊森下历美森下茂男森下千里森下未散森下洋子森下遥森下谣森下悠里森下友纪森下哲夫森星云森杏奈森秀树森雪森雪之丞森熏森雅森雅M80 森雅S80 森雅·特霍米契森雅汽车

简介

病毒行为

过程