这是一个远程木马。它会伪装成360安全卫士的进程,连接病毒作者指定的服务器,等待黑客入侵。
1.生成文件
%sys32dir%\Fuck.exe
2.生成伪360服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray Type dword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray ImagePath hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,46,75,63,6b,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray DisplayName "360tray"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray Description "360安全卫士实时保护模块"
3.病毒运行后会创建一个Fuck.EXE进程.
4.病毒运行后会实现自删除.
5.病毒运行后可远程控制用户机器.
京公网安备 11010802021500号