Win32.Troj.DNSChanger.98304 偽裝升級包98304

來源:互聯網
上載者:User

病毒名稱(中文):偽裝升級包98304

病毒別名:

威脅層級:★☆☆☆☆

病毒類型:木馬程式

病毒長度:25857

影響系統:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003

病毒行為:

這是一個木馬程式,它會讀取使用者系統的一些配置資訊,並製造後門,串連病毒作者指定的遠程伺服器,等待駭客串連。

在磁碟中釋放出以下檔案:

C:\WINDOWS\muotr.so

C:\WINDOWS\SAMPLE.EXE

C:\WINDOWS\mainms.vpi

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在磁碟中刪除了以下檔案:

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在註冊表中建立了以下資訊:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4"

在註冊表中設定了以下資訊:

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""ImagePath""C:\WINDOWS\SAMPLE.EXEservice"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""DisplayName""MsSecurityUpdated"

會從以下註冊表中讀取資訊:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

病毒會串連作者指定的網址:

網域名稱:"tr-exchange.*****連接埠:80(IP)

tr-exchange.*****.php?uid=%I64d&gid=1&cid=NULL&rid=5&sid=16851784

在系統中建立了以下進程:

"SAMPLE.EXE"

在系統中建立了以下服務:

服務名:"MsSecurity1.209.4(MsSecurityUpdated)"

映像路徑:"C:\WINDOWS\SAMPLE.EXEservice"

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

11.11 Big Sale for Cloud

Get Unbeatable Offers with up to 90% Off,Oct.24-Nov.13 (UTC+8)

Get It Now >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。