词条 | Trojan-PSW.Win32.Nilage.blg |
释义 | 病毒名称:Trojan-PSW.Win32.Nilage.blg(Kaspersky) 病毒大小:15671 bytes 加壳方式:NsPack 样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998 样本SHA1:c4881275f29fd403009855afdad05a6163010a2c 行为分析: 病毒运行后,复制自身到: %ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.bak 并释放dll: %ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll 注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息 创建ShellExecuteHooks,随机启动: [HKEY_CLASSES_ROOT\\CLSID\\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\\InProcServer32] @="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] "{0EA66AD2-CF26-2E23-532B-B292E22F3266} "="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll" 病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3 X:\\autorun.inf X:\\PegeFile.pif autorun内容: [autorun] open=PegeFile.pif shellexecute=PegeFile.pif shell\\Auto\\command=PegeFile.pif shell=Auto 病毒会注入Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行: %Temp%\\1.exe %Temp%\\2.exe %Temp%\\3.exe %Temp%\\4.exe %Temp%\\5.exe %Temp%\\6.exe %Temp%\\7.exe %Temp%\\8.exe %Temp%\\9.exe %Temp%\\10.exe %Temp%\\11.exe %Temp%\\12.exe %Temp%\\13.exe %Temp%\\14.exe %Temp%\\15.exe %Temp%\\16.exe %Temp%\\17.exe %Temp%\\system22.exe 添加注册表项,记录自身和下.载的病毒的版本信息: [HKCU\\Software\\SetVer\\ver] 病毒还尝试删除verclsid.exe文件,用Findwindow函数查找1616116,1818118窗体 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。