扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
病毒进入系统后,在系统盘根目录下释放出5个病毒文件,分别为%WINDOWS%下的0004bb58.inf和另外三个随机命名的.dll、.KEY、.sco格式文件,以及%WINDOWS%\drivers\目录下的一个.sys文件。然后,它修改注册表系统项,将自己的相关数据加入其中,使自己达到随系统启动而启动之目的。
为了避免用户的发现,病毒会将自己伪装为名为“rtltvb”的WINDOWS系统的服务进程,如果用户注意检查其属性,可发现它的描述为:“Microsoft .NET Framework TPM”,路径为“%sys32dir%\svchost.exe -k rtltvb”,伪装得还真像!
如果得以顺利运行,病毒就会读取注册表中关于代理服务器的数据,从而掌握用户的代理服务器地址。然后,它尝试在后台悄悄创建多个线程,与黑客指定的远程服务器2*1.2*7.17.2*6建立通讯,随时等待接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。
二、“网游盗号木马14452”(Win32.Troj.AgentT.fm.14452) 威胁级别:★
当开始运行后,病毒首先会在系统盘中搜索windows系统的第KB908531项安全补丁文件verclsid.exe,发现后立刻将它删除。接着,病毒不断注入当前已启动的进程中,并自动判断注入的进程是否为ElementClient.exe这一项,如果是,就立刻展开监控程序,截获用户的帐号和密码等数据。
金山反病毒工程师建议
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。