Win32.Troj.Downloader.fo

2017-11-30    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用
病毒名称(中文):
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 9188
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

该病毒为Windows平台下的木马下载器,病毒运行后删除一些反病毒进程和服务,然后通过可用的网络资源下载相关木马或其它病毒。
病毒主要通过软件捆绑或欺骗方式进行传播。

1、病毒运行时检测系统语言,假如是unicode体系则直接退出程序。

2、病毒启动时枚举进程,检测并终止以下相关进程:
PcCtlCom.exe
tmPfw.exe
tmproxy.exe
Tmntsrv.exe
pccguide.exe
fsbwsys.exe
FAMEH32.EXE
PCH32.EXE
FSAV32.EXE
FSAW.EXE
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
FSMA32.exe
FSMB32.EXE
fsqh.exe
FSRW.EXE
fssm32.exe
SERVICE~1.exe
fspex.exe
FSM32.EXE
fsguidll.exe
xcommsrv.exe
vsserv.exe
mcupdmgr.exe
McTskshd.exe
McDetect.exe
Mcdetect.exe
McVSEscn.exe
mcagent.exe
mcvsshld.exe
McShield.exe

3、同时病毒会尝试删除以下服务:
ShareAccess
navapsvc
PcCtlCom
TmPfw
tmproxy
Imntsrv
fsbwsys
FSDFWD
FSMA
BackWebPlug-in-4476822
F-SecureGatekeeperHandlerStarter
bdss
VSSERV
XCOMM
McShield

4、网络状态可用时,病毒尝试访问以下网站下载相关病毒:
http://traff****.biz/progs_exe/ajtxt/gemht.php?adv=adv496保存为:c:\uniq.exe
http://traff****.biz/progs_exe/ajtxt/uvmldvgsd保存为:c:\nwlaa.exe
http://traff****.biz/progs_exe/ajtxt/vgfamcryi保存为:c:\pmljrnbv.exe
http://traff****.biz/progs_exe/ajtxt/eibxih.php保存为:c:\vbwymn.exe
http://traff****.biz/progs_exe/ajtxt/pkfqp保存为:apppath\fmjfmm.exe
http://traff****.biz/progs_exe/ajtxt/rzhpazyxv.php保存为:c:\ProgramFiles\secure32.html
http://traff****.biz/progs_exe/ajtxt/gbjrdcwfn保存为:c:\ProgramFiles\edjm.exe
http://traff****.biz/progs_exe/ajtxt/txfrcb保存为:c:\stniyga.exe
http://traff****.biz/progs_exe/ajtxt/bjnzx保存为:c:\iqvetkmt.exe
http://traff****.biz/progs_exe/ajtxt/nmhcomlx保存为:c:\ytuukqx.exe
http://traff****.biz/progs_exe/ajtxt/ygsamyti保存为:c:\fdlsmwpa.exe
http://traff****.biz/progs_exe/ajtxt/kfnykjiuse保存为:c:\weeg.exe
http://traff****.biz/progs_exe/ajtxt/towudo.php?adv=adv496&code1=JSM0&co...保存为:c:\uniq.exe


标签: 网络 网站

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:卡巴斯基重复激活试用版本(无限期试用)方法

下一篇:15款最好的Windows系统安全检测工具