|
本地行为:
1、文件运行后会释放以下文件:
%HomeDrive%\_uninsep.bat 204 字节
%Documents and Settings% \All Users
\「开始」菜单\程序\启动\Display3D.exe 14,954 字节
2、新增注册表项,创建病毒服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_SC_MANAGER\0000]
注册表值: "Class"
类型: REG_SZ
字符串: "LegacyDriver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_SC_MANAGER\0000]
注册表值: " ClassGUID"
类型: REG_SZ
字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_SC_MANAGER\0000]
注册表值: " ActiveService"
类型: REG_SZ
字符串: "Sc Manager"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_SC_MANAGER\0000]
注册表值: "DeviceDesc "
类型: REG_SZ
字符串: "Sc Manager"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_SC_MANAGER\0000]
注册表值: "Service"
类型: REG_SZ
字符串: "Sc Manager"
[KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Sc Manager]
注册表值: " DisplayName"
类型: REG_SZ
字符串: "Sc Manager"
[KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Sc Manager]
注册表值: "ImagePath"
类型: REG_SZ
字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~ 1\Temp\usbcams3.sys"
[KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Sc Manager]
注册表值: "Start"
类型: DWORD
值:3
3、通过注册表映像劫持多款安全软件:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options
\被映像劫持的文件名称]
注册表值: "Debugger"
类型: REG_SZ
字符串:"ntsd -d"
劫持文件名列表:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
adam.exe、AgentSvr.exe、AppSvc32.exe、AtiSrv.exe、
autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、
avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、
KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、
KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、
mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、
nod32krn.exe、nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、
OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、
QHSET.exe、QQDoctor.exe、QQKav.exe、Ras.exe、
RavMonD.exe、RavStub.exe、RawCopy.exe、RegClean.exe、
RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、
rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、
runiep.exe、safebank.exe、safeboxTray.exe、safelive.exe、
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、
symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、
WinDbg.exe、WoptiClean.exe
网络行为:
连接网络下载大量病毒文件,并在本机运行,大多为网络游戏盗号木马:
http://222.73.44.***/new.txt
http://222.73.44.***/1.exe
http://222.73.44.***/2.exe
http://222.73.44.***/3.exe
http://222.73.44.***/4.exe
http://222.73.44.***/5.exe
http://222.73.44.***/6.exe
http://222.73.44.***/7.exe
http://222.73.44.***/8.exe
http://222.73.44.***/9.exe
http://222.73.44.***/10.exe
http://222.73.44.***/11.exe
http://222.73.44.***/12.exe
http://222.73.44.***/13.exe
http://222.73.44.***/14.exe
http://222.73.44.***/15.exe
http://222.73.44.***/16.exe
http://222.73.44.***/17.exe
http://222.73.44.***/18.exe
http://222.73.44.***/19.exe
http://222.73.44.***/20.exe
http://222.73.44.***/21.exe
http://222.73.44.***/22.exe
http://222.73.44.***/23.exe
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
病毒标签:
病毒上报信箱: