扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年3月17日
关键字:
Win32.Troj.OnlineGames.sj,威胁级别:★★☆☆☆
病毒行为:
这是一个木马下载器,它能下载大量的游戏木马。
1、拷贝文件
病毒运行后,会把自己拷贝到系统目录下。
%Windows%\system32\servest.exe
2、注册服务
病毒会注册一个名为Windowstt的服务,使病毒随系统启动。
3、利用autorun自启动
病毒会生成autorun文件,利用autorun实现自启动。
4、反杀毒软件
病毒会使用鼠标模拟点击的方法尝试关闭杀毒软件发现病毒的窗口。
5、下载其它病毒
病毒会下载以下地址的病毒:
h**p://down.******.cn/arp/1.exe
h**p://down.******.cn/arp/2.exe
h**p://down.******.cn/arp/3.exe
h**p://down.******.cn/arp/4.exe
h**p://down.******.cn/arp/5.exe
h**p://down.******.cn/arp/6.exe
h**p://down.******.cn/arp/7.exe
h**p://down.******.cn/arp/8.exe
h**p://down.******.cn/arp/9.exe
h**p://down.******.cn/arp/10.exe
h**p://down.******.cn/arp/11.exe
h**p://down.******.cn/arp/12.exe
h**p://down.******.cn/arp/13.exe
h**p://down.******.cn/arp/14.exe
h**p://down.******.cn/arp/15.exe
h**p://down.******.cn/arp/16.exe
h**p://down.******.cn/arp/17.exe
h**p://down.******.cn/arp/18.exe
h**p://****.net/new/system22.exe
h**p://down.******.cn/arp/19.exe
以上病毒都是游戏木马,另外还带有一个感染型病毒,使用户计算机感染了数量众多的病毒。
周末华军和联想网站被挂,就有这个下载器,今天这个样本是在另一个企业抓到的,下载器不同,下载的马是一样的,应该是一个组织干的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。