Win32.Troj.EncodeXor.a.188928-终端安全-安全频道-至顶网

Win32.Troj.EncodeXor.a.188928

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

来源：论坛整理 2008年10月7日

关键字：安全防范病毒资料病毒查杀

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

188928

影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

在磁盘中释放出以下文件:
C:WINDOWS2.bat
C:WINDOWShelpB41346EFA848.dll

在磁盘中删除了以下文件:
病毒会删除自身
c:1.hiv
c:2.hiv

在注册表中创建了以下信息:
"HKCRCLSID{1DBD6574-D6D0-4782-94C3-69619E719765}"
"HKCRCLSID{1DBD6574-D6D0-4782-94C3-69619E719765}InProcServer32"
"HKCUSoftware 1"

在注册表中设置了以下信息:
"HKCRCLSID{1DBD6574-D6D0-4782-94C3-69619E719765}" "" "SSUUDL"
"HKCRCLSID{1DBD6574-D6D0-4782-94C3-69619E719765}InProcServer32" "" "C:WINDOWShelpB41346EFA848.dll"
"HKCRCLSID{1DBD6574-D6D0-4782-94C3-69619E719765}InProcServer32" "ThreadingModel" "Apartment"
"HKCUSoftware 1" "{1DBD6574-D6D0-4782-94C3-69619E719765}" ""

会从以下注册表中读取信息:
"HKLMSOftWaReMiCrOsOfTwiNdOwSCUrReNtveRsIoNeXpLoReRShElLexEcuteHOoKs"
"HKCUSoftware 1"
"HKCUSoftwareBorlandLocales"
"HKLMSoftwareBorlandLocales"
"HKCUSoftwareBorlandDelphiLocales"

病毒会连接作者指定的网址:
病毒会从 http://dd3.tesekl.info/net.exe 下载文件至本地计算机 c:
et.exe
域名:"dd3.tesekl.info" 端口:80 (TCP)
dd3.tesekl.info/net.exe

在系统中创建了以下进程:
病毒会创建了一个互斥体 WSXIHUDS ，防止重复运行
"CMD.EXE"