Win32.Troj.Maran.bo

王朝百科·作者佚名  2010-01-26  
宽屏版  字体: |||超大  

威胁级别:★

病毒类型:木马

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码,并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒,以免中毒造成损失。

1、生成的文件

C:WINNTsystem32hs4viewer.dll

C:WINNTavp.exe

2、添加驱动

HKLMSystemCurrentControlSetServicesWS2IFSL

"Type" = "0x1"

HKLMSystemCurrentControlSetServicesWS2IFSL

"Start" = 0x2"

HKLMSystemCurrentControlSetServicesWS2IFSL

"ImagePath" = "SystemRootSystem32driversws2ifsl.sys"

HKLMSystemCurrentControlSetServicesWS2IFSL

"DisplayName" = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"

3、添加伪系统服务

HKLMSystemCurrentControlSetServicesVGADown

"Type" = "0x10"

HKLMSystemCurrentControlSetServicesVGADown

"Start" = "0x2"

HKLMSystemCurrentControlSetServicesVGADown

"ImagePath" = "C:WINNTavp.exe"

HKLMSystemCurrentControlSetServicesVGADown

"DisplayName" = "Audio Adapter"

4、修改SPI,其DLL路径为C:WINNTsystem32hs4viewer.dll。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries00000000001

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries00000000001

5、在系统目录下生成delplme.bat批处理文件实现自删除。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有