|
病毒名称
Trojan-PSW.Win32.WOW.bak
病毒症状
该病毒是一个使用Delphi编写的木马程序,长度为24,893字节,图标为常规可执行图标,病毒扩展名为exe。病毒传播方式为文件捆绑和网页挂马。
病毒分析
该木马程序激活后,在%systemroot%目录下生成IFC222.DLL和WINLOGOR.EXE文件。修改注册表项辅助病毒的启动;遍历进程试图在每个进程中注入IFC222.DLL文件;查找名为"elementclient.exe"的进程将其关闭;在用户重新运行网游时,使用钩子窃取用户输入的帐号和密码以及其它信息,通过网页收信空间发给黑客。
病毒注册表启动项:
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explore\
键值:NoDriverTypeAutoRun
键值数据:145
键值:NoFavoritesMenu
键值数据:1
键值:NoInstrumentation
键值数据:1
键值:NoStartBanner
键值数据:1
键值:NoStartMenuSubFolders
键值数据:1
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explore\Run\
键值:mm
指向文件:sourro.exe
键值:w
指向文件:winrar.exe
键值:wl
指向文件:intent.exe
键值:wm
指向文件:winlogor.exe
键值:zx
指向文件:winadr.exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马、文件捆绑 |
|
收藏
