首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 计算机病毒 >> 阅读资讯:Win32.Troj.PcClient.a.688128(0004bb58.inf,byhfjm.dll)分析

Win32.Troj.PcClient.a.688128(0004bb58.inf,byhfjm.dll)分析

[ 作者:铁军 | 更新日期:2008-8-22 21:07:50 | 阅读次数: ]
以下是本周10大病毒列表:

1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。

    (1)病毒释放文件,然后使用DeleteFileA删除自身
    %sys32dir%\0004bb58.inf
    %sys32dir%\{随机文件名}.dll(如byhfjm.dll)
    %sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
    %sys32dir%\{随机文件名}.sco(如byhfjm.sco)
    %sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)

    (2)病毒增加注册项
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

    (3)病毒尝试添加一个系统服务rtltvb
    服务名:rtltvb
    描述:Microsoft .NET Framework TPM
    显示名称:rtltvb
    映像路径:%sys32dir%\svchost.exe -k rtltvb
    启动类型:自动

    (4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
    "Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
    "Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"

    (5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
    0**205.k**p.net(2**.2*7.17.2*6)
2.Win32.Troj.OnlineGamesT.qp.73876
这是一个网游盗号木马,金山毒霸08.08.17.10版本可以查杀。
病毒程序文件是一个tdffdl.dll或其它dll文件,大小229376 byte,DLL文件可注入系统进程加载。可使用金山清理专家全面诊断功能查找可疑DLL。

3.Win32.RiskWare.HideWindows.31232
这是一个广告软件,属于有风险的程序,类似的感染日志为:感染路径C:\WINDOWS\system32\CMDOW.exe。对于风险程序,缺省情况下毒霸并不会主动清除,因风险程序的危险性相对较低,可以尝试使用金山清理专家百宝箱的文件粉碎器彻底删除。

4.Win32.RiskWare.Agent.ir.36864
这是一个风险程序,查毒日志类似于
引用:
在C:\Documents and Settinfgs\Administrator\Local Settings\Temp\CmdLineExt02.dll
可以使用金山清理专家百宝箱中的文件粉碎器解决这个DLL文件

5.Win32.Troj.OnLineGamesT.sq.114709
这是一个盗号木马,金山毒霸08.08.17.10版本可以查杀。

6.Win32.Troj.OnlineGamesT.qp.73876
这是一个盗号木马,毒霸08.02.21.10版本可以查杀
染毒日志类似于
引用:
C:\Documents and Settings\Administrator\Local Settings\Temp\disE29A.tmp\Baidu.exe Win32.Troj.OnlineGamesT.qp.73876
C:\Documents and Settings\Administrator\Local Settings\Temp\disE282.tmp\Baidu.exe Win32.Troj.OnlineGamesT.qp.73876
7.Win32.Adware.Ejik.jg.654848
这是一个广告软件,金山毒霸08.07.14.10版本可以查杀。
广告软件入侵后,客户端自动点击广告,可以为传播者带来广告收益。

8.Win32.PSWTroj.OnLineGames.119222
这是一个盗号木马,金山毒霸08.08.14.10版本可以查杀。

9.Win32.PSWTroj.OnLineGames.119166
这个盗号木马,金山毒霸08.08.12.10版本可以查杀

10.Win32.Troj.OnlineGamesT.pd.222208
这是网游盗号木马,金山毒霸08.07.09.10版本可以查杀。

Tags:Win32.Troj.PcClient.a.688128 0004bb58.inf byhfjm.dll
来源:爱毒霸
上一篇:系统感染性病毒comctl32.dll,debug.exe,tree.com分析  下一篇:sizhu.exe病毒手动查杀
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐