科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Troj.Inject.40064

Win32.Troj.Inject.40064

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接。

来源:论坛整理 2008年10月1日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
40064
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接。

在磁盘中释放出以下文件:
C:WINDOWSTEMPawtqnkhe.dll

在注册表中创建了以下信息:
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings"
"HKLMSoftwareMicrosoftActive SetupInstalled Components{5Y99AE78-58TT-11dW-BE53-Y67078979Y}"

在注册表中设置了以下信息:
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Bulas" "1"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "FW_KILL" "1"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "XP_FW_Disable" "1"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "XP_SYS_Recovery" "1"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "ICQ_UIN" "`lddon/on,hq/hogn"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "ICQ_UIN2" ""
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Kurban_Ismi" "whbuhl"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Mail" ""
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Online_List" ""
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Port" "4001"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Sifre" "0325"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "Hata" ""
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "KSil" "1"
"HKCUSoftwareMicrosoftWindows NT Script HostMicrosoft DxDiagWinSettings" "LanNotifie" ""
"HKLMSoftwareMicrosoftActive SetupInstalled Components{5Y99AE78-58TT-11dW-BE53-Y67078979Y}" "StubPath" "C:WINDOWSsystemsservice.exe"

在注册表中修改了以下信息:
"HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon" "Shell" "Explorer.exe C:WINDOWSsystem32fservice.exe"

会从以下注册表中读取信息:
"HKCUSoftwareBorlandLocales"
"HKCUSoftwareBorlandDelphiLocales"
"HKCUSoftwareMicrosoftActive SetupInstalled Components{5Y99AE78-58TT-11dW-BE53-Y67078979Y}"

病毒会连接作者指定的网址:
病毒会从 http://dd6.tesekl.info/net.exe 下载文件至本地计算机 c:
et.exe
域名:"dd6.tesekl.info" 端口:80 (TCP)
dd6.tesekl.info/net.exe

在系统中创建了以下进程:
病毒创建了一个CLSID为 {E93AD7C1-C347-11D1-A3E2-00A0C90AEA82} 类名为 VBRuntime6 的 COM 组件

病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号