词条 | Win32.Troj.ADLoad.an |
释义 | 1.简介中文名:未知 病毒类型: 木马程序 病毒长度: 24576 本病毒所有命名:未知 该病毒为Windows平台下的下载广告的木马型病毒,病毒运行后的通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。 2.行为分析该病毒为Windows平台下的下载广告的木马型病毒,病毒运行后的通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。 3.描述(1)生成以下文件%Windir%\\System32\\magicap.dll %Windir%\\System32\\magicap.ver %Windir%\\System32\\magicaptmp.ver %Windir%\\System32\\askmngr.exe %Windir%\\System32\\autorun.inf %Windir%\\System32\\askmngrtmp\\.exe %Windir%\\System32\\d11host.exe %Windir%\\System32\\magicapf.log %Windir%\\System32\\oleauto32.dll %Windir%\\System32tcoredll.dll %Windir%System32\\pcfap.dll %Windir%\\System32\\fileap.dll %Windir%\\System32\\fileap.ver %Windir%\\System32\\msieinslog.dat %Windir%\\prfexp.dat 2、通过可用的网络资源下载以下文件:http://bms.y****.com/plugin/magicap.ver 保存为: %Windir%system32magicap.ver http://bms.y****.com/plugin/taskmngr.exe 保存为: %Windir%system3 askmngr.exe 3、将%windir%system32spydll.dll注入explorer进程 4、写入注册表项:[HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] {372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps" [HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell ExtensionsApproved] {372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] d11host="C:\\WINNT\\System32\\d11host.exe" [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] GinaDLL="rpcfap.dll" %Windir%\\secupadf.dat %Windir%\\msimfinst.log %Windir%\\tcoredlltmp.dll |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。