VBS.Iframe.np.934
2008-08-11 20:25:02 来源:WEB开发网病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 838
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个远程控制木马。它是个脚本文件,会伪装成屏幕保护程序,欺骗用户放松警惕,然后将用户电脑与黑客的远程服务器连接。
在磁盘中释放出以下文件:
C:
C:\WINDOWS
C:\WINDOWS\[vs63www.ai***8.net(1f')].chm
C:\WINDOWS\12.exe
会从以下注册表中读取信息:
"HKCU\Software\FlySky\E\Install"
病毒会连接作者指定的网址:
域名:"ba**r.q**v.org"端口:32321(TCP)
在磁盘中创建以下配置文件:
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "RTL" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "Text" "C:\WINDOWS\TEMP\nss8099.tmp\modern-wizard.bmp"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NumFields" "3"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NextButtonText" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "CancelEnabled" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Text" "WelcometotheHappyEaster!ScreensaverSetupWizard"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Bottom" "48"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Top" "55"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Bottom" "185"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "State" "0"
在系统中创建了以下进程:
病毒尝试打开CLSID为{0000002C-5994-0005-C058-00433C3B4000}的组件
病毒尝试打开CLSID为{0000002C-5994-0005-9E63-00433C3B4000}的组件
"012.exe"
"setup1469.exe"
"IeLockerInst_25.exe"
"dodolook040.exe"
"SetupDll1000.exe"
- ››iframe中访问easyui的jsp页面时,脚本的正确写法
- ››iframe的自适应高度及iframe中含有页签的高度动态...
- ››iframe嵌入父页面访问子页的方法
- ››iframe在ie9 ie8 ie7 ie6 360 firefox中自适应高度...
- ››VBScript读写二进制文件
- ››VBScript自动登录千脑云电脑
- ››iframe应用技巧:保留垂直滚动条去掉水平滚动条
- ››iframe框架流量分析:框架流量的应用
- ››iframe加载完成后操作contentDocument
- ››NPD:苹果iPhone/iPod touch用户下载互联网内容的比...
- ››VBS 纯真IP数据库转MDB/MSSQL/MySQL
- ››VBScript和JavaScript中的正则基础
更多精彩
赞助商链接