 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 黑客木马程序"伪装暴力下载器"病毒分析 | |||||
作者:佚名 文章来源:【赛迪网-IT技术报道】 点击数: 更新时间:2008-6-18  |
|||||
|
【赛迪网-IT技术报道】Win32.TrojDownloader.FraudLoad.66048,这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。 病毒名称:Win32.TrojDownloader.FraudLoad.66048 中文名称:伪装暴力下载器66048 威胁级别:★★☆☆☆ 病毒类型:黑客程序 病毒长度:66048字节 影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为: 这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。 1.释放病毒 %Local Settings%\Temporary Internet Files\Content.IE5\C4DGV5NI\goggle[1].htm %WINDOWS%\braviax.exe %WINDOWS%\cru629.dat %system32%\braviax.exe %system32%\cru629.dat %system32%\univrs32.dat %system32%\winivstr.exe 生成在wincmd.ini文件中添加: firstmnu=3513 [lefttabs] 0_path=c:\WorkTools\ 0_options=1|0|0|0|0|1|0 activetab=1 [righttabs] 0_path=c:\WorkTools\OllyICE\ 0_options=1|0|0|0|0|0|0 activetab=0 activelocked=1 2.创建键值,建立服务,可以自启动 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Search Bar "http://www.google.com/ie" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run braviax "C:\WINDOWS\system32\braviax.exe" 3.修改注册表项 HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions" = "yes" HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchBar" = "http://www.google.ie" HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchPage" = "http://www.google.com" HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"StartPage" = "http://www.google.com" HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"Default_Search_URL" = "http://www.google.ie" HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"SearchPage" = "http://www.google.com" HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"StartPage" = "http://www.google.com" HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\"SearchAssistant" = "http://www.google.com" 修改以下注册表项,减低系统安全设置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" <= "01000000" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000" HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" = "01000000" HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" = "01000000" HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" = "01000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPoli cy\Standa rdProfile\EnableFirewall" = "00000000" 4.病毒注入到所有进程中并调用运行,保护病毒体不被复制、删除。 破坏多款防火墙程序,窃取被感染计算机 上用户的私密信息并发送给病毒作者,另外,可能会破坏用户计算机系统内的某些应用程序等。 5.从http://www.so****shier.com/me***ers/link[已删除],下载执行其他病毒。 |
|||||
| 文章录入:血腥魔术师 责任编辑:血腥魔术师 | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| IANA ICANN站点被黑 访问者被 NEC将3亿美元收购NetCracker 盖茨欢送会场面感人 与鲍尔默 盖茨临别“祝福”微软 不会与 “伪颗粒”变种后台秘密监视 灰鸽子变种NH远程控制用户偷 06月27日病毒播报 Data URI XSS与验证About XH 微软将超1亿收购语义搜索Pow 微软公司历史上的10大创新 独 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
