|
| 冒牌杀软下载器106156--- Win32.Troj.GuiseAV.rs.106156 |
| 作者 depressedboy 查看 251 发表时间 2008/7/25 20:14 【论坛浏览】 |
|
zrtigyezvu zrtigyezvu zrtigyezvu zrtigyezvu 威胁级别: ★★☆☆☆zrtigyezvu zrtigyezvu zrtigyezvu 病毒类型: 木马下载器zrtigyezvu zrtigyezvu zrtigyezvu 病毒长度: 106156zrtigyezvu zrtigyezvu zrtigyezvu zrtigyezvu 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003zrtigyezvu zrtigyezvu zrtigyezvu zrtigyezvu 病毒行为:zrtigyezvu 这是个经过伪装的木马下载器。它利用电脑用户对于屏保退出的方法不熟悉,以及用户们对安全的渴望,在电脑中伪造系统崩溃现象,欺骗用户下载一个所谓的“杀毒软件”。zrtigyezvu zrtigyezvu 1.先释放ph[随机字符].bmp到%windir%\system32\下zrtigyezvu zrtigyezvu 2.将自身复制到%windir%\system32\下的lph[随机字符].exe ,删除自己zrtigyezvu zrtigyezvu 3.释放blph[随机字符].scr到%windir%\system32\下zrtigyezvu zrtigyezvu 4.在注册表中创建zrtigyezvu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"lph[随机字母]" = "%windir%\system32\lph[随机字母].exe"zrtigyezvu zrtigyezvu 5.释放C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.tt[随机数字].tmp.vbs (开启系统还原)zrtigyezvu zrtigyezvu 6.修改注册表的桌面和屏保设置zrtigyezvu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0" (开启系统还原)zrtigyezvu HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "0 0 255" (背景改成蓝色)zrtigyezvu HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveActive" = "1"zrtigyezvu HKEY_CURRENT_USER\Control Panel\Desktop\"TileWallpaper" = "0"zrtigyezvu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\"InstallationID" = "906b1f2d-66b5-439e-8c02-9d08858fe527"zrtigyezvu HKEY_CURRENT_USER\Control Panel\Desktop\"ConvertedWallpaper" = "%windir%\ph[随机字母].bmp"zrtigyezvu HKEY_CURRENT_USER\Control Panel\Desktop\"SCRNSAVE.EXE" = "%windir%\blph[随机字母].scr"zrtigyezvu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispBackgroundPage" = "0"zrtigyezvu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDispScrSavPage" = "0"zrtigyezvu HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver\"EULAAccepted" = "1"zrtigyezvu (Bluescreen Screen Saver屏保产生的一个键值,该屏保模拟Windows系统的蓝屏死机现象)zrtigyezvu zrtigyezvu 7.连接"http://xxxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"zrtigyezvu "http://xxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"zrtigyezvu 下载伪杀毒软件(链接失效) |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
