鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站制作教程 > vbs > >

VBS.Iframe.np.934

来源:互联网 作者:佚名 时间:2015-10-15 13:29
病毒名称(中文):屏保伪装脚本934 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马程序 病毒长度:838 影响系统:Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个远程控制木马。它是个脚本文件,会伪装成屏幕保护程序,欺骗用户放松警惕,然后将用户电脑
病毒名称(中文): 屏保伪装脚本934
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 838
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个远程控制木马。它是个脚本文件,会伪装成屏幕保护程序,欺骗用户放松警惕,然后将用户电脑与黑客的远程服务器连接。

在磁盘中释放出以下文件:
C:
C:\WINDOWS
C:\WINDOWS\[vs63www.ai***8.net(1f')].chm
C:\WINDOWS\12.exe

会从以下注册表中读取信息:
"HKCU\Software\FlySky\E\Install"

病毒会连接作者指定的网址:
域名:"ba**r.q**v.org"端口:32321(TCP)

在磁盘中创建以下配置文件:
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "RTL" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "Text" "C:\WINDOWS\TEMP\nss8099.tmp\modern-wizard.bmp"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NumFields" "3"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "NextButtonText" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "CancelEnabled" ""
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Text" "WelcometotheHappyEaster!ScreensaverSetupWizard"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "Bottom" "48"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Top" "55"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "Bottom" "185"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field1] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field2] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Field3] "HWND" "0"
C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini [Settings] "State" "0"

在系统中创建了以下进程:
病毒尝试打开CLSID为{0000002C-5994-0005-C058-00433C3B4000}的组件
病毒尝试打开CLSID为{0000002C-5994-0005-9E63-00433C3B4000}的组件
"012.exe"
"setup1469.exe"
"IeLockerInst_25.exe"
"dodolook040.exe"
"SetupDll1000.exe"







网友评论
<