展开全部
病毒分类 WINDOWS下的PE病毒
行为类型 WINDOWS下的木马程序
下载器木马,文件上有微软版本信息,迷惑性较大。
该木马运行后有以下行为:
1、文件方面
将自己复制到系统文件夹中,同时释放两个动态库,并将这两个动态库分别注入到winlogon.exe和Explorer.exe进程空间中,完成其他功能。
程序文件以及动态库的文件名可能分别为:Readini32.exe,gsuflsd.dll,tnsdff.dll。
2、注册表方面
将自己注册为系统服务,实现开机启动。在winlogon.exe和Explorer.exe进程空间中的动态库每隔1秒重写一次它在注册表中的注册项,以确保不被删除。
新添加的键值有:
HKLM\System\CurrentControlSet\Services\Readini32
HKLM\System\CurrentControlSet\Services\Readini32\ImagePath="%SYSDIR%Readini32.exe -service"
HKLM\SOFTWARE\Baidu
HKLM\SOFTWARE\Baidu\BaiduBar
HKLM\SOFTWARE\Baidu\BaiduBar\ID = "shenyingj"
HKLM\SOFTWARE\Baidu\IECOMPANION\ID = "shenyingj"
3、网络方面
每次运行开始1分钟后从网上下载文件到系统文件夹下的gstfd.t,以后每小时一次,该文件中为URL列表。注在winlogon.exe中动态库会启动explorer.exe来浏览文件中的URL,所以时常弹的出现IE窗口。
行为类型 WINDOWS下的木马程序
下载器木马,文件上有微软版本信息,迷惑性较大。
该木马运行后有以下行为:
1、文件方面
将自己复制到系统文件夹中,同时释放两个动态库,并将这两个动态库分别注入到winlogon.exe和Explorer.exe进程空间中,完成其他功能。
程序文件以及动态库的文件名可能分别为:Readini32.exe,gsuflsd.dll,tnsdff.dll。
2、注册表方面
将自己注册为系统服务,实现开机启动。在winlogon.exe和Explorer.exe进程空间中的动态库每隔1秒重写一次它在注册表中的注册项,以确保不被删除。
新添加的键值有:
HKLM\System\CurrentControlSet\Services\Readini32
HKLM\System\CurrentControlSet\Services\Readini32\ImagePath="%SYSDIR%Readini32.exe -service"
HKLM\SOFTWARE\Baidu
HKLM\SOFTWARE\Baidu\BaiduBar
HKLM\SOFTWARE\Baidu\BaiduBar\ID = "shenyingj"
HKLM\SOFTWARE\Baidu\IECOMPANION\ID = "shenyingj"
3、网络方面
每次运行开始1分钟后从网上下载文件到系统文件夹下的gstfd.t,以后每小时一次,该文件中为URL列表。注在winlogon.exe中动态库会启动explorer.exe来浏览文件中的URL,所以时常弹的出现IE窗口。
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
用完美卸载的顽固文件删除粉碎
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
