trojan.win32.vb.sj

王朝百科·作者佚名  2010-02-19  
宽屏版  字体: |||超大  

病毒名称: trojan.win32.vb.sj

病毒类型: 木马

危害等级: 中

文件长度: 20,000 字节

感染系统: windows 9x以上系统

开发工具: Visual Basic

加壳类型: PEConpact v1.4

病毒描述:

该病毒采用 RM 视频图标,诱惑用户点击。感染该病毒后会在 %winnt% 下释放病毒文件 “ taskmgr.exe ”和“ n0tepad.exe ”,类似于系统文件。修改注册表,修改 txtfile 的键值,关联到病毒 n0tepad.exe ,添加启动项,从而达到随系统启动的目的。在 %winntsystem% 下释放 windll.dll 文件。循环检测用户是否运行聊天程序,若捕获到窗口则发送相关信息,诱使其他用户点击,从而达到传播得目的。

行为分析:

1 、释放病毒文件 taskmgr.exe 和 n0tepad.exe ,文件属性:系统,只读,隐藏。

2 、修改注册表:关联病毒体 n0tepad.exe ,添加启动项。

HKEY_CLASS_ROOTxtfileshellopencommand(Default) = "N0TEPAD.EXE %1 "

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

taskmgr = "C:WINNTsystemaskmgr.exe"

3 、病毒遍历窗口,若发现用户开启“ Windows 任务管理器”便将其终止,防止用户手动结束病毒。

4 、 %winntsystem% 下释放 windll.dll 文件,内容为“ "AllJapanesArePigs", ”

5 、搜索活动窗体的标题,伺机发送相关信息,每隔 0.2 秒遍历一次。

6 、连接网站 http://www.18hi.com/ (目前已无返访问),下载病毒并运行。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有