词条 | scsys16_080507.dll |
释义 | Win32.Troj.PswSendT.db.91716 病毒名称(中文):感染型木马91716病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:91716影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为: 这是一个木马程序。它本身实际上是个蠕虫,可以利用感染exe文件来进行传播。它进入用户系统后会在磁盘中释放出文件、修改注册表,并对抗安全软件。然后设法取得用户权限,创建非法的系统服务。 在磁盘中释放出以下文件: C:\\WINDOWS\\SYSTEM32\\inf\\ C:\\WINDOWS\\pwisys.ini C:\\WINDOWS\\SYSTEM\\sgcxcxxaspf080507.exe C:\\WINDOWS\\SYSTEM32\\inf\\sppdcrs080507.scr C:\\WINDOWS\\SYSTEM32\\mdccasys32_080507.dll C:\\WINDOWS\\SYSTEM32\\inf\\scsys16_080507.dll C:\\WINDOWS\\SYSTEM32\\lwfdfia16_080507.dll 会从以下注册表中读取信息: "HKCU\\Software\\Borland\\Locales" "HKLM\\Software\\Borland\\Locales" "HKCU\\Software\\Borland\\Delphi\\Locales" "HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders" "HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\run" 病毒会连接作者指定的网址: about:blank 域名:"about:blank" 端口:80 (TCP) about:blank/ 在磁盘中创建以下配置文件: pwisys.ini [hitpop] "first" "1" pwisys.ini [hitpop] "ver" "080507" pwisys.ini [exe] "fn" "C:\\WINDOWS\\SYSTEM\\sgcxcxxaspf080507.exe" pwisys.ini [temp] "myf" "e" pwisys.ini [exe_bak] "fn" "C:\\WINDOWS\\SYSTEM32\\inf\\sppdcrs080507.scr" pwisys.ini [dll_hitpop] "fn" "C:\\WINDOWS\\SYSTEM32\\mdccasys32_080507.dll" pwisys.ini [dll_start_bak] "fn" "C:\\WINDOWS\\SYSTEM32\\inf\\scsys16_080507.dll" pwisys.ini [dll_start] "fn" "C:\\WINDOWS\\SYSTEM32\\lwfdfia16_080507.dll" pwisys.ini [sys] "bat" "c:\\myDelm.bat" pwisys.ini [delete] "fn" "c:\\sample.exe" 在系统中创建了以下进程: [SeDebugPrivilege]权限被病毒使用了 病毒会枚举系统进程,可能会对一些安全进程进行关闭操作 病毒会通过以下途径传播: 病毒会修改硬盘中存在的可执行文件 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。