Win32.Bube.b

2017-11-30    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
病毒名称(中文):
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 其它
病毒长度: 9209
影响系统: Win9xWinNT



病毒行为:

这是一个感染型病毒的病毒原体,它会感染explorer.exe文件,被感染的explorer.exe
在每次运行时会开启一个后门线程,随时等待远程终端的控制。

1.创建名为"BeavisMutex"的互斥体,保证只有一个病毒体在运行。

2.将自身拷贝到%system%目录下,并添加注册表启动项,以实现开机自启:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
不但如此,病毒又改头换面,将自身再次复制到%system%目录下,命名为
soft.exe,而且也添加了注册表启动项:
[HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"run"="%system%\soft.exe"
然后病毒体由添加了另一个注册表项:
[HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="%system%\soft.exe"

3.修改注册表,关闭系统备份功能,然后对
%WinDir%\
%System%\dllcache\
%WinDir%\ServicePackFiles\
文件夹中的explorer.exe进行感染,同时还在%WinDir%目录下存放一个感染备份文件explorere.new。
病毒还会在被感染的explorer.exe文件的末尾留下8个字节的感染标记:
0xFF0xFF0xFF0xD00xC90xC20x080x00
病毒在%WinDir%目录下创建了名为wininit.ini的配置文件,内容如下:
[rename]
%Windir%\explorer.exe=%Windir%\explorer.new
被感染的explorer.exe在运行时,系统会弹出下面的提示:

4.病毒体还会收集系统的版本信息,并从下面这个网址
http://ad*****ash.***
下载其它可能的病毒文件。

5.被感染的explore.exe会开启一个病毒线程,每15分钟运行一次,
修改与系统安全相关的注册表项,并从上面的网址下载commands.ini
文件。


标签: 安全

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Win32.Troj.AIMPws

下一篇:DOS.Troj.EraseC.b