词条 | Win32.Troj.StartPage.nk |
释义 | 病毒别名:Trojan.Win32.StartPage.nk[AVP] 处理时间: 威胁级别:★★ 中文名称: 病毒类型:木马 影响系统:WinNT 病毒行为: 这是一个恶性的木马,他会将自己复制到系统目录,并将自己加载到注册表启动项。它修改感染机器的默认主页,偷取用户保存在计算机中的敏感信息;它到网上下载文件并运行;它还比较彻底的隐藏自己的进程,使用户很难察觉的病毒进程;它会尝试通过创建远程线程的方式向某些系统进程中注入病毒代码,可能导致系统进程的出错而使得系统崩溃。 1.将自身复制到系统目录%system%下,文件名字是随机产生的。 2.修改注册表。 添加注册键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "kalvsys"="%system32%\\<病毒文件名>" 添加一下主键和键值: [HKEY_CURRENT_USER\\Software\\LQ] "AD"="0" "TM"="10" "AC"="0" "U"="4" "I"="{5E794E87-94C5-450A-8828-EFD8892CEEC3}" "AT"="86400" "AM"="6" "TR"="126400" "country"="China" "city"="Lanzhou" "state"="15" "RX"="1" "RX2.8"="1" "RX2.9"="1" "RX3.0"="1" HKEY_LOCAL_MACHINE\\SOFTWARE\\ohbbackup HKEY_LOCAL_MACHINE\\SOFTWARE\\Elitum 3.隐藏自己的进程,分别尝试通过创建远程线程的方式向进程svchost.exe,services.exe,explorer.exe, iexplore.exe进程中注入病毒代码。在注入进程svchost.exe时出错导致进程svchost.exe出错而关闭,系统最终将崩溃。 4.修改用户主页以及IE设置,到指定网址下载文件并运行。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。