Win32.Troj.DNSChanger.98304 偽裝升級包98304

病毒名稱(中文):偽裝升級包98304

病毒別名:

威脅層級:★☆☆☆☆

病毒類型:木馬程式

病毒長度:25857

影響系統:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003

病毒行為:

這是一個木馬程式，它會讀取使用者系統的一些配置資訊，並製造後門，串連病毒作者指定的遠程伺服器，等待駭客串連。

在磁碟中釋放出以下檔案:

C:\WINDOWS\muotr.so

C:\WINDOWS\SAMPLE.EXE

C:\WINDOWS\mainms.vpi

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在磁碟中刪除了以下檔案:

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在註冊表中建立了以下資訊:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4"

在註冊表中設定了以下資訊:

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""ImagePath""C:\WINDOWS\SAMPLE.EXEservice"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""DisplayName""MsSecurityUpdated"

會從以下註冊表中讀取資訊:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

病毒會串連作者指定的網址:

網域名稱:"tr-exchange.*****連接埠:80(IP)

tr-exchange.*****.php?uid=%I64d&gid=1&cid=NULL&rid=5&sid=16851784

在系統中建立了以下進程:

"SAMPLE.EXE"

在系統中建立了以下服務:

服務名:"MsSecurity1.209.4(MsSecurityUpdated)"

映像路徑:"C:\WINDOWS\SAMPLE.EXEservice"