Worm.Win32. RavMon的行为分析
1个回答
展开全部
1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavAV
键值: 字串: C:\WINNT\RavMon.exe
2、病毒尝试连接网络,尝试连接下地址:
3、开启本机一个随机端口并发送获得的计算机信息。如:计算机名、端口、版本信息等。
4、猜测该病毒的某些功能对应的python模块文件名:
终止进程对应的python模块名为:killProcName.pyo
url地址对应的python模块名为: urllib.pyo、urlparse.pyo
获取目标主机信息对应的python模块名为:os.pyo
http相关的python模块名为:httplib.pyo
删除cookiess对应的python模块名为:cookiess.pyo
base64/quopri编码功能对应的python模块名为:base64.pyo
cmd功能对应的python模块名为:cmd.pyo
修改注册表对应的python模块名为:copy_reg.pyo
ftp相关的python模块名为:ftplib.pyo
调用socket相关的python模块名为:socket.pyo
usb相关的python模块名为:usb.pyo
--------------------------------------------------------------------------------
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
力控科技
2024-08-19 广告
ForceSCADA是力控科技信创产品的重要组成部分,具备完全自主知识产权,支持部署在Linux桌面版、服务器版、嵌入式等系统架构下。使用ForceSCADA可以搭建创新性高、扩展性佳、融合度强的SCADA平台,进而构建高效、智能化的监控中...
点击进入详情页
本回答由力控科技提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
