请输入您要查询的百科知识:

 

词条 Trojan-PSW.Win32.Nilage.blg
释义

病毒名称:Trojan-PSW.Win32.Nilage.blg(Kaspersky)

病毒大小:15671 bytes

加壳方式:NsPack

样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998

样本SHA1:c4881275f29fd403009855afdad05a6163010a2c

行为分析:

病毒运行后,复制自身到:

%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.bak

并释放dll:

%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll

注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息

创建ShellExecuteHooks,随机启动:

[HKEY_CLASSES_ROOT\\CLSID\\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\\InProcServer32]

@="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

"{0EA66AD2-CF26-2E23-532B-B292E22F3266} "="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll"

病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3

X:\\autorun.inf

X:\\PegeFile.pif

autorun内容:

[autorun]

open=PegeFile.pif

shellexecute=PegeFile.pif

shell\\Auto\\command=PegeFile.pif

shell=Auto

病毒会注入Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行:

%Temp%\\1.exe

%Temp%\\2.exe

%Temp%\\3.exe

%Temp%\\4.exe

%Temp%\\5.exe

%Temp%\\6.exe

%Temp%\\7.exe

%Temp%\\8.exe

%Temp%\\9.exe

%Temp%\\10.exe

%Temp%\\11.exe

%Temp%\\12.exe

%Temp%\\13.exe

%Temp%\\14.exe

%Temp%\\15.exe

%Temp%\\16.exe

%Temp%\\17.exe

%Temp%\\system22.exe

添加注册表项,记录自身和下.载的病毒的版本信息:

[HKCU\\Software\\SetVer\\ver]

病毒还尝试删除verclsid.exe文件,用Findwindow函数查找1616116,1818118窗体

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/4 5:02:03