WEB开发网
开发学院网络安全病毒数据库 Win32.Troj.Agent.ie.302080 阅读

Win32.Troj.Agent.ie.302080

 2008-08-11 20:26:18 来源:WEB开发网   
核心提示:病毒名称(中文):广告弹出器302080病毒别名:威胁级别:★★☆☆☆病毒类型:广告软件病毒长度:302080影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个广告木马,它会劫持系统文件,Win32.Troj.Agent.ie.302080,然后频繁弹出广告页面,该毒还具有自
病毒名称(中文): 广告弹出器302080
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 广告软件
病毒长度: 302080
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个广告木马。它会劫持系统文件,然后频繁弹出广告页面。该毒还具有自我更新功能。

1.样本msns*.dll先设置钩子注入explorer.exe。
2.下载读取http://www.X***XXX.net/bo/update.ini更新配置文件,下载里面的病毒更新程序http://www.X**X.cn/news/BO1011.exe到Temp目录。
3.会弹出http://unions.X***XXX.net/softConfig_new.jsp?userID=%userID%&validationID=%validationID%&agentID=%agentID%&version=%version%&visitCount=%visitCount%&existTime=%existTime%广告。
4.遍历RUN键值下的所有项,并以其名字建立映像劫持。
5.建立计划任务%windir%\Tasks\MsUpdateTask.job,每个3分钟运行一次。
6.更新程序BO1011.exe,会释放%temp%\nsz[*].tmp\BackOperHelper.dll文件([*]为数字,从1开始往上加).
7.BackOperHelper.dll会算出随机字符连接到msns后,连接成msns*.dll的确定文件名。
8.BO1011.exe会将msns*.dll释放资源到%windir%\下。
9.BO1011.exe释放fanti.sys和regti.sys两个驱动到%windir%下
10.BackOperHelper.dll将%windir%下的fanti.sys和regti.sys两个驱动复制到%windir%\system32\drivers下,并创建相应的服务。
11.fanti.sys,regti.sys会获取驱动启动信息进行对比,出现错误写入%windir%\system32\regti.LOG
12.msns*.dll创建HKLM\SOFTWARE\Microsoft\Service里面写入中毒的时间。
13.msns*.dll创建HKLM\SYSTEM\CurrentControlSet\Services\Reserve\file键值,将自己路径写入。







Tags:Win Troj Agent

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接