JS.RealPlr.wg.1241

核心提示：病毒名称(中文):脚本连接器1241病毒别名:威胁级别:★☆☆☆☆病毒类型:广告软件病毒长度:1241影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个脚本病毒，它可利用网页挂马进行传播，JS.RealPlr.wg.1241，进入系统后会创建系统服务，连接指定的黑客服务器，

病毒名称(中文): 脚本连接器1241
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 广告软件
病毒长度: 1241
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个脚本病毒。它可利用网页挂马进行传播，进入系统后会创建系统服务，连接指定的黑客服务器。

这是一个脚本病毒。会在磁盘中释放出文件，会修改注册表，会创建系统服务。

行为分析:

在磁盘中释放出以下文件:
C:\WINDOWS\MDHVGE.DAT
C:\WINDOWS\CAGTUA.DAT
C:\WINDOWS\dtoolss.exe

在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services" "ImagePath" "C:\WINDOWS\dtoolss.exe"
"HKLM\System\CurrentControlSet\Services" "DisplayName" "dtoolss.exe"

会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"

在系统中创建了以下进程:
病毒尝试使用[SeDebugPRivilege]权限枚举进程
病毒会创建了一个互斥体Hacker.com.cn_MUTEX，防止重复运行
"dtoolss.exe"

在系统中创建了以下服务:
服务名:"(dtoolss.exe)"
映像路径:"C:\WINDOWS\dtoolss.exe"

病毒会通过以下途径传播:
病毒会利用网络进行传播