我想知道所有的病毒名称
2个回答
展开全部
病毒名称(中文):AUTO广告机184320
病毒行为:
该病毒是易语言编写的广告木马。它会帮助病毒作者指定的网页刷流量,并且能通过AUTO技术借助移动设备进行传播。
1.释放E语言库文件com.run, eAPI.fne, krnln.fnr, shell.fne, spec.fne, RegEx.fnr, internet.fne, dp1.fne到%TEMP%\E_4目录下。
2.调用库函数里的算法来计算文件名中的[*].
3.将%TEMP%\E_4目录下的com.run, eAPI.fne, krnln.fnr, shell.fne, spec.fne, RegEx.fnr, internet.fne, dp1.fne复制到%sys32dir%下,保证%TEMP%\E_4被删除的情况下样本还能启动。
4.释放3个文件ul.dll, og.dll, og.EDT到%sys32dir%下。
5.调用库函数解密,得到网址
6. 在注册表中run键值中创建键名为xp-[*],指向%sys32dir%\xp-[*].exe。
7. 在当前用户的启动项中创建一个隐藏的” .lnk“,指向%sys32dir%\xp-[*].exe
8.每30秒通过GetDriveTypeW来遍历所有驱动器判断是否有有驱动器是DRIVE_REMOVABLE,若是,将自身拷贝到到其根目录下命名为Recycled.exe创建对应的AutoRun.inf。
病毒行为:
该病毒是易语言编写的广告木马。它会帮助病毒作者指定的网页刷流量,并且能通过AUTO技术借助移动设备进行传播。
1.释放E语言库文件com.run, eAPI.fne, krnln.fnr, shell.fne, spec.fne, RegEx.fnr, internet.fne, dp1.fne到%TEMP%\E_4目录下。
2.调用库函数里的算法来计算文件名中的[*].
3.将%TEMP%\E_4目录下的com.run, eAPI.fne, krnln.fnr, shell.fne, spec.fne, RegEx.fnr, internet.fne, dp1.fne复制到%sys32dir%下,保证%TEMP%\E_4被删除的情况下样本还能启动。
4.释放3个文件ul.dll, og.dll, og.EDT到%sys32dir%下。
5.调用库函数解密,得到网址
6. 在注册表中run键值中创建键名为xp-[*],指向%sys32dir%\xp-[*].exe。
7. 在当前用户的启动项中创建一个隐藏的” .lnk“,指向%sys32dir%\xp-[*].exe
8.每30秒通过GetDriveTypeW来遍历所有驱动器判断是否有有驱动器是DRIVE_REMOVABLE,若是,将自身拷贝到到其根目录下命名为Recycled.exe创建对应的AutoRun.inf。
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
