Trojan.Alemod.B
2008-02-23 08:29:19来源:互联网 阅读 ()
一、木马病毒:Trojan.Alemod.B 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个木马病毒,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它注入 oleext32.dll 文件记录用户Web访问,修改桌面设置,从网上下载执行文件,当收到、打开此病毒后,有以下现象:
A 创建以下文件:
系统目录 oleext.dll,System32\oleext32.dll和intell321.exe
Window目录 warnhp.Html uninstDsk.exe
用户目录 Application Data\Microsoft\Internet Explorer\Desktop.htt
B 创建注册表项HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
C 添加注册表项"intell321.exe" = "%System%\intell321.exe到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使得病毒每次开机后执行获取控制权
D 添加注册表项"BackupWallpaper" = "%SystemRoot%\web\wallpaper\Bliss.bmp"到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
E 增加注册表项"DisplayName" = "Desktop Uninstall" 和
"UninstallString" = "uninstDsk.exe"到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall
F 删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntivirusGold
G 复制系统目录的wininet.dll 文件为oleext32.dll ,注入病毒到oleext32.dll
H 改变壁纸为(图一)
I 在通知区域显示(图二)
J 从地址 http://download.alfacleaner.com/setu 下载并执行文件(被证实为病毒 Downloader.Harnig)
K 修改windows目录下的文件WININIT.INI中 "rename"的内容
二 木马病毒 W32.Beagle.EB 危害级别:★☆☆☆☆
根据光华反病毒研究中心专家介绍,W32.Maniccum 是一个木马病毒,该病毒长度 135,684 字节,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,它收集邮件地址发往指定地址,然后删除自身,当收到、打开此病毒后,有以下现象:
A 收集硬盘中以下扩展名的文件中邮件地址
.wab
.txt
.msg
.htm
.shtm
.stm
.XML
.dbx
.mbx
. mdx
.eml
.nch
.mmf
.ods
.cfg
.ASP
.PHP
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
B 排除含有以下内容的邮件地址
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
Linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
WinZip
WinRAR
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
C 将收集到的地址发送到
http://www.gabyphoto.com/pages/out
D 增加注册表项"FirstRun4545" = "1"到
HKEY_CURRENT_USER\Software\FirstRun
E 删除病毒自身
北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新,光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵,时刻保护您的电脑安全。光华反病毒软件用户升级到4月17日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2006-4-17
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Keylogger.Mose
下一篇:Trojan.Meheerwar
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash