中文(Chinese) 英文(English) Tel: 4006-858-981           Msn: China@Safe.sh         QQ: 7387526       Server Hosting        加入收藏
主页 >> 安全风向标 >> 病毒大百科
安全风向标
分类
win32.troj.droprootkit.a.143360
病毒名称(中文):猫癣下载器
病毒别名:
威胁级别:★★★☆☆
病毒类型:木马下载器
病毒长度:143360
影响系统:Win9x WinNT Win2000 WinXP Win2003
病毒行为:

该毒为一款木马下载器。它有较强的对抗能力,可导致系统中的安全软件失效。该毒运行后还会导致迅雷不能启动,电脑运行速度变慢。

病毒名:Win32.Troj.DropRootKit.a.143360
病毒类别:下载者

1.2. 启动项列表
1.感染ctfmon.exe
2.在非系统盘每个文件夹中释放usp10.dll劫持系统dll
1.3. 释放文件列表
%windir%\jiocs.dll
%windir%\Tasks\1
%tmp%\98989898
%sys32dir%\sadfasdf.jpg
%sys32dir%\ctfmon.exe
二. 样本行为
病毒母体EXE

2.1 获取当前进程的PID
若当前PID小于等于0x0a,退出进程。

2.2 判断创建互斥体
2.3 解密自己数据段释放驱动文件
2.4 解密进程名,结束对应进程
2.5 添加对迅雷的映像劫持
2.6 释放dll并调用
2.7 调用360保险箱卸载参数
2.8 修改注册表关闭360监控
2.9 解密数据释放文件"1"
2.10 创建线程拷贝伪usp10.dll
2.11 创建线程关闭窗口和更改显示隐藏文件
2.12 创建线程来关闭cmd.exe
2.13 创建线程来下载盗号器并将其运行
2.14 发送本机信息
2.15 获取本机是否装QQ,并发送信息
2.16 下载替换HOSTS文件
2.17 下载母体自更新
2.18 创建开启服务提升权限
2.19 调用控制码替换系统文件
2.1 导出函数DllEntryPoint
2.2 创建互斥变量
2.3 关闭杀软进程
2.4 添加对迅雷的映像劫持
创建线程下载病毒母体
导出函数Winext
页面工具 打印 | 电子邮件 | 评价
关于我们 | | 沪ICP备12021423号-1 | 联系我们 友情链接 | 站点地图 | 隐私 | 法律 | Copyright © 2018 Safe.Sh