Win32.Troj.250hpT.aa.524292-终端安全-安全频道-至顶网

Win32.Troj.250hpT.aa.524292

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

来源：论坛整理 2008年10月4日

关键字：安全防范病毒查杀病毒资料

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

314884

影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

在磁盘中释放出以下文件:
C:WINDOWSSYSTEM32adionalcoo.ini
C:WINDOWSSYSTEM32gjcmcmbncsfgr.dll

在注册表中创建了以下信息:
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}"
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}InprocServer32"
"HKCR.exeGJCMCM~1.IEExtend"
"HKCR.exeGJCMCM~1.IEExtendClsid"
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}ProgID"
"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9B753C26-9E77-4C96-B7A8-4ACB70025974}"

在注册表中设置了以下信息:
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}" "" ""
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}InprocServer32" "" "C:WINDOWSSYSTEM32GJCMCM~1.DLL"
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}InprocServer32" "ThreadingModel" "Apartment"
"HKCR.exeGJCMCM~1.IEExtend" "" ""
"HKCR.exeGJCMCM~1.IEExtendClsid" "" "{9B753C26-9E77-4C96-B7A8-4ACB70025974}"
"HKCRCLSID{9B753C26-9E77-4C96-B7A8-4ACB70025974}ProgID" "" "GJCMCM~1.IEExtend"

会从以下注册表中读取信息:
"HKCUSoftwareBorlandLocales"
"HKLMSoftwareBorlandLocales"
"HKCUSoftwareBorlandDelphiLocales"

病毒会连接作者指定的网址:
域名:"www.250hp.cn" 端口:80 (IP)
www.250hp.cn/updatedatanew.aspx?id=3243&cardno=4C3F0543E476&rss=9e8362e6...

在系统中创建了以下进程:
"Regsvr32.exe"