Win32.TrojDownloader.PurityScan.71168
2008-08-11 20:26:36 来源:WEB开发网核心提示:病毒名称(中文):顽固下载器71168病毒别名:威胁级别:★☆☆☆☆病毒类型:木马下载器病毒长度:71168影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个木马下载器程序,此毒为了对抗反病毒厂商和高级用户的查杀,Win32.TrojDownloader.PurityScan
病毒名称(中文):
顽固下载器71168
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马下载器
病毒长度: 71168
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马下载器
病毒长度: 71168
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀,进行了较多的伪装,并且释放出的病毒文件路径及文件名均可变。
1.病毒首先检测当前环境是否是真实环境,发现是在虚拟机内运行时执行大量伪装的正常代码。
2.模拟正常软件执行过程,在注册表如下位置写入信息:
HKCU\Software\Acat,"ohsu"=2c034563(无用的16进制数)。
HKCU\Software\Cebs"Aacu"=24124565(无用的16进制数)。
3.在一可变路径下新建目录,在该目录下释放病毒副本文件,副本文件名也为可变,通过观察病毒副本文件可能位于:
c:\DocumentsandSetting\[username]\applicationData\system32\explorer.exe,
c:\PRogramsFiles\security\scanregw.exe;
副本文件路径有多种,不一一列出。
4.病毒创建自启动项来使释放的副本文件随系统加载:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
"oCSS"=c:\programsFiles\security\scanregw.exe-vttzt(该值当前释放的病毒副本全路径)
5.病毒运行以参数-vttzt运行所释放的副本文件;
6.新病毒进程开启后到指定地址读取病毒下载列表,病毒下载列表地址如下:
http://nf.o****info.com/notify.php
Tags:Win TrojDownloader PurityScan
编辑录入:爽爽 [复制链接] [打 印]更多精彩
赞助商链接