Win32.Troj.DNSChanger.98304 伪装升级包98304

病毒名称(中文):伪装升级包98304

病毒别名:

威胁级别:★☆☆☆☆

病毒类型:木马程序

病毒长度:25857

影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003

病毒行为:

这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接。

在磁盘中释放出以下文件:

C:\WINDOWS\muotr.so

C:\WINDOWS\SAMPLE.EXE

C:\WINDOWS\mainms.vpi

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在磁盘中删除了以下文件:

C:\WINDOWS\TEMP\tmp0019.tmp

C:\WINDOWS\TEMP\tmp0919.tmp

在注册表中创建了以下信息:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4"

在注册表中设置了以下信息:

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""ImagePath""C:\WINDOWS\SAMPLE.EXEservice"

"HKLM\System\CurrentControlSet\Services\MsSecurity1.209.4""DisplayName""MsSecurityUpdated"

会从以下注册表中读取信息:

"HKLM\Software\Microsoft\NetDNS\RemotedShares"

病毒会连接作者指定的网址:

域名:"tr-exchange.*****端口:80(IP)

tr-exchange.*****.php?uid=%I64d&gid=1&cid=NULL&rid=5&sid=16851784

在系统中创建了以下进程:

"SAMPLE.EXE"

在系统中创建了以下服务:

服务名:"MsSecurity1.209.4(MsSecurityUpdated)"

映像路径:"C:\WINDOWS\SAMPLE.EXEservice"

时间: 2024-12-27 12:41:53

Win32.Troj.DNSChanger.98304 伪装升级包98304的相关文章

Win32.Troj.Gamania.a

病毒名称(中文): 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:36352 影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003 病毒行为: 该病毒是一个木马载体,它运行时首先释放盗取天堂密码的木马Win32.Troj.Lineage.be.20480,并每次开机起动时,加载运行该木马,给用户带来严重损失.该病毒运行特征是:它会关闭一些正在运行的杀毒软件及防火墙. 1,生成文件 %system%\msdns.exe %system%\htd

Win32.Troj.Small.ab病毒是什么

  Win32.Troj.Small.ab这是一个木马下载器,用于下载并执行木马.影响系统有Win9x / WinNT. 病毒别名:Trojan-Downloader.Win32.Small.abt[AVP] 处理时间: 威胁级别:★★ 中文名称: 病毒类型:木马 影响系统:Win9x / WinNT 病毒行为: 1.在系统目录%system%下创建文件: cmd64.exe(本身) systems32.exe driver64.exe(Trojan.Win32.Dialer.gd) mutlo

Win32.Troj.Folin.a-大话西游木马病毒

病毒名称(中文): 病毒别名:Trojan-PSW.Win32.Folin.a[AVP] 威胁级别:★★☆☆☆ 病毒类型:木马程序 病毒长度:20818 影响系统:Win9x\WinNT 病毒行为: 这是一个大话西游木马病毒,该病毒可以盗取大话西游玩家的帐号和密码,并且通过邮件的方式将所盗帐号和密码发送给偷盗者 1.生成文件: %system%\foxdhsend.exe 2.添加启动项,使病毒开机启动: HKLM\Software\Microsoft\Windows\CurrentVersio

wwjod.dll加载失败,win32.troj.mnless.82432的清除方法_病毒查杀

每次启动机器就会提示,c:\windows\system32\wwjod.dll加载失败,拒绝访问. 使用sreng,启动项目-win32服务和应用程序删除 [KLJS_Server / KLJS][Stopped/Disabled]   <><N/A> 驱动程序删除 [ragq / ragqm][Running/Boot Start]   <\SystemRoot\System32\DRIVERS\ragqm.sys> 系统修复-浏览器加载项删除 [apronA Cl

Win32.Troj.GuiseExpT.ny.57344

病毒名称(中文): 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:1412608 影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003 病毒行为: 这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接. 在磁盘中释放出以下文件: C:\WINDOWS\Nt_File_Temp\ C:\WINDOWS\Nt_File_Temp\list.bmp 在磁盘中删除了以下文件: C:\WINDOWS\

Win32.Troj.FengShen.cm-盗取封神榜游戏帐号和密码的木马

病毒名称(中文): 病毒别名: 威胁级别:★★☆☆☆ 病毒类型:木马程序 病毒长度:23040 影响系统:Win9x\WinNT 病毒行为: 该病毒是一个盗取用户封神榜游戏帐号和密码等信息的木马.该木马运行时,拷贝自己到系统文件夹,通过写入并执行dela.bat删除自身并运行系统文件夹里病毒副本:记录并邮寄封神榜帐号和密码.计算机名.操作系统等信息,使封神榜用户的利益受到损失. 1,生成文件 %system%\fsservice.exe %当前目录%\dela.bat(自删除) 2,修改注册表

Win32.Troj.LMir.dl-偷盗传奇帐号和密码的木马程序

病毒名称(中文): 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:43520 影响系统:Win9x/WinM/eWinNT/Win2000/WinXP/Win2003 病毒行为: 这是一个偷盗传奇帐号和密码的木马程序. 该病毒能关闭安全软件,会安装消息钩子,自动HOOK所有窗口,如果是传奇游戏的窗口,则记录账号和密码,通过自带的SMTP引擎,发送到指定邮箱. 1,释放出下列文件: C:\rundll32.exe C:\WINNT\System32\cq3dll.dll 2,修改

Win32.Troj.Dadobra.i.28672

病毒名称(中文): 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:28672 影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003 病毒行为: 这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接. 在磁盘中释放出以下文件: C:\WINDOWS\SYSTEM32\taskmas.exe 会从以下注册表中读取信息: "HKCU\Software\Borland\Locales" &

Win32.Troj.JXSword剑侠大盗

病毒名称(中文):剑侠大盗 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:19861 影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003 病毒行为: 该病毒是一个盗取剑侠情缘·网络版游戏帐号和密码的木马.该病毒会拷贝自身到系统目录下%system%Classic.exe,然后删除自身,运行系统目录下的副本,并添加启动项.病毒发作时,搜索标题为"剑侠情缘·网络版",窗口类为"Sword3Class"的窗口,并记录