Trojan.Magiclink.24.c.enc

2008-02-23 08:48:57来源：互联网阅读 ()

病毒名称: Trojan.Magiclink.24.c.enc 类别：木马病毒病毒资料：破坏方法：

病毒采用jpg文件图标。诱惑用户双击。

1.运行后病毒释放图片“magic.jpg”，用IE打开显示给用户。

病毒偷偷拷贝自身为系统目录“magic.exe”，创建文件“firstrunmagic.txt”作为文件驻留标志，启动系统目录的magic.exe，进行下列破坏行为，而本程序退出。

2.释放MMSYSDLL.DLL。

win9x下，调用其中的sethook函数，挂结eXPlorer.exe的消息派发钩子，然后立即向其发送消息WM_MOUSEMOVE，采用这种方式将MMSYSDLL.DLL注入到explorer.exe中。

win2000和xp下采用远程线程的方式注入。

病毒在explorer中开辟新的线程，进行破坏活动。

3.病毒创建MMDLLTXT.HTM，内容只有“abc”三个字符串。病毒打开该文件，这样IE就被运行了。

病毒将MMSYSDLL.DLL用同样的办法注入IE中。

这样病毒以IE的名誉进行网络通讯，接收远程控制命令，对本地进行文件浏览、进程浏览、键盘记录等等各种控制操作。
普通的防火墙都不会拦截。

4.病毒创建互斥量“magic_normal_run”避免重复驻留。

在win2000和xp下，病毒创建服务"Performance Service"

建议用户发现此病毒后，立即断掉网络连接，杀毒后立即重新启动机器。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-10-31

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有