×

新导航介绍,点击查看

伪装下载器163840

发表日期:2008-05-11 摄影器材: 点击数: 投票数:
病毒类型:
木马下载器
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

该病毒是一个木马下载器的变种。病毒运行后会衍生病毒文件至系统盘中,然后修改注册表,增加启动项。如成功启动便会下载其它病毒至用户机器上运行。

1.生成文件
C:WINDOWSsystemmspmsnsv.dll

2.修改注册表,添加启动项.
增加以下注册表键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN NextInstance dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 Service 'WmdmPmSN'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 Legacy dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 ConfigFlags dword:00000000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 Class 'LegacyDriver'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 ClassGUID '{8ECC055D-047F-11D1-A537-0000F8753ED1}'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000 DeviceDesc 'Portable Media Serial Number Service'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000Control
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000Control *NewlyCreated* dword:00000000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WMDMPMSN000Control ActiveService 'WmdmPmSN'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSNEnum
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSNEnum 0 'RootLEGACY_WMDMPMSN000'
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSNEnum Count dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSNEnum NextInstance dword:00000001

并通过修改以下键值,将WmdmPmSn服务调用的dll文件路径指向病毒文件:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSN Type dword:00000020 dword:00000110
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSN Start dword:00000003 dword:00000002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWmdmPmSNParameters ServiceDll hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00, hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,5c,6d,73,70,6d,73,6e,73,76,2e,64,6c,6c,00,

3.病毒运行后会删除病毒源文件自身.

4.病毒运行后会从以下地址下载其他的病毒文件至本机:
http://xzz.****.com/

关键词:木马

作者:豺狼DDOS攻击

《伪装下载器163840》


下一篇:没有了

最 新:
没有其它新的作品了

更多豺狼DDOS攻击的POCO作品...

评论