热点推荐
ZOL首页 > 企业安全 > 安全 > 安全堂 > 黑客木马“伪装暴力下载器”病毒分析

黑客木马“伪装暴力下载器”病毒分析


赛迪网 【转载】 2008年06月18日 09:01 评论

  Win32.TrojDownloader.FraudLoad.66048,这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。

  病毒名称:Win32.TrojDownloader.FraudLoad.66048

  中文名称:伪装暴力下载器66048

  威胁级别:★★☆☆☆

  病毒类型:黑客程序

  病毒长度:66048字节

  影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

  病毒行为:

  这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。

  1.释放病毒

  %Local Settings%\Temporary Internet Files\Content.IE5\C4DGV5NI\goggle[1].htm

  %WINDOWS%\braviax.exe

  %WINDOWS%\cru629.dat

  %system32%\braviax.exe

  %system32%\cru629.dat

  %system32%\univrs32.dat

  %system32%\winivstr.exe

  生成在wincmd.ini文件中添加:

  firstmnu=3513

  [lefttabs]

  0_path=c:\WorkTools\

  0_options=1|0|0|0|0|1|0

  activetab=1

  [righttabs]

  0_path=c:\WorkTools\OllyICE\

  0_options=1|0|0|0|0|0|0

  activetab=0

  activelocked=1

  2.创建键值,建立服务,可以自启动

  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  Search Bar "http://www.google.com/ie"

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  braviax "C:\WINDOWS\system32\braviax.exe"

  3.修改注册表项

  HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions"

  = "yes"

  HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchBar"

  = "http://www.google.ie"

  HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchPage"

  = "http://www.google.com"

  HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"StartPage"

  = "http://www.google.com"

  HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"Default_Search_URL"

  = "http://www.google.ie"

  HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"SearchPage"

  = "http://www.google.com"

  HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"StartPage"

  = "http://www.google.com"

  HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\"SearchAssistant"

  = "http://www.google.com"

  修改以下注册表项,减低系统安全设置

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify"

  = "01000000"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify"

  <= "01000000"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000"

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000"

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" = "01000000"

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000"

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPoli

  cy\Standa

  rdProfile\EnableFirewall" = "00000000"

  4.病毒注入到所有进程中并调用运行,保护病毒体不被复制、删除。

  破坏多款防火墙程序,窃取被感染计算机

  上用户的私密信息并发送给病毒作者,另外,可能会破坏用户计算机系统内的某些应用程序等。

  5.从http://www.so****shier.com/me***ers/link[已删除],下载执行其他病毒。

给文章打分 5分为满分(共0人参与) 查看排行>>
频道热词:云计算  服务器   无线路由器  
视觉焦点
企业安全安全热点
排行 文章标题
TOP10周热门硬盘录像机排行榜
  • 热门
  • 新品
查看完整榜单>>