扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个木马下载器程序。它会在用户无法知晓的情况下,从病毒作者指定的服务器下载盗号木马等病毒。并且它还具有干扰查杀和自我更新的功能。
1.病毒为躲避杀软检测,加两层壳,内部有较多垃圾代码。
2.修改注册表,创建自启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
键值"runner1"=X:\WINDOWS\mrofinu.exe
3.在注册表HKEY_CLASSES_ROOT\WR下添加病毒版本等信息,病毒根据这些信息判断自身是否是最新版本。如不是新版本,则到地址http://pmg73.a1.wrs.*****.com/mrofinu.zip下载新版本,保存为X:\WINDOWS\mrofinu.exe运行。
4.病毒到指定地址读取下载列表http://wr.*****.com/retadpu.php?&version=71&configversion=&GUID=398F6297C38622143A86382707F10CE3CA83260F329F39566FF916E3C2832212339B385374B4&cmd=&p=&i=&x=1209113214,该地址经过简单加密。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者