|
|
|
| 进程文件: | Command.exe | |
| 进程名称: | AOL Trojan Pcfwall或Worm_Lovgate.AD“爱之门”病毒变种 | |
| 英文描述: | N/信诌息萎进菩程殆库渐息赠processlib.net旭bbs.processlib.net览www.processlib.net热www.processlib.net憎A | |
| 进程分析: | 木马蠕虫病毒。“爱之门”病毒变种。病毒会将大量可执行文件替换成病毒副本文件,并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%Windows%文件夹下生成:SVCHOST.EXE和SYSTRA.EXE。在%system%文件夹下生成:HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成:AUTORUN.INF和COMMAND.EXE。 病毒在注册表中添加以下项目,使得自身能够作为服务运行:在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下添加SystemTra="C:\Windows\SysTra.EXE"COM++System="svchost.exe" 病毒在注册表中添加以下项目,使得自身能够随系统启动而自动运行,在HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows下添加run="RAVMOND.exe"WinHelp="C:\Windows\System32\TkBellExe.exe"HardwareProfile="C:\Windows\System32\hxdef.exe"VFWEncoder/DecoderSettings="RUNDLL32.EXEMSSIGN30.DLLondll_reg"MicrosoftNetMeetingAssociates,Inc.="NetMeeting.exe"ProgramInWindows="C:\Windows\System32\IEXPLORE.EXE"ShellExtension="C:\Windows\System32\spollsv.exe"ProtectedStorage="RUNDLL32.EXEMSSIGN30.DLLondll_reg" 病毒修改以下注册表项目,这样一来,用户在运行.txt文本文件的时候,实际上就是在运行病毒拷贝:HKEY_CLASSES_ROOT\txtfile\shell\open\commanddefault="Update_OB.exe%1"(原始数值为%SystemRoot%\system32\NOTEPAD.EXE%1)HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\commanddefault="Update_OB.exe%1"(原始数值为%SystemRoot%\system32\信诌息萎进菩程殆库渐息赠processlib.net旭bbs.processlib.net览www.processlib.net热www.processlib.net憎NOTEPAD.EXE%1)。 病毒修改文件AUTORUN.INF[AUTORUN]Open="c:\COMMAND.EXE"/StartExplorer Trojan-Clicker.Win32.VB.kc木马病毒也用此文件名加入服务。浏览器劫持。 |
|
| 进程位置: | 系统或windir | |
| 程序用途: | 木马蠕虫病毒 用于窃密,搜索系统邮箱,回复找到的电子邮件,并将病毒作为附件进行传播。也是BUDDY病毒相关程序。 | |
| 作者: | unknown | |
| 属于: | unknown | |
| 安全等级 (0-5): | 0 (N/A无危险 5最危险) | |
| 间碟软件: | 是 | |
| 广告软件: | 是 | |
| 病毒: | 是 | |
| 木马: | 是 | |
| 系统进程: | 否 | |
| 应用程序: | 否 | |
| 后台程序: | 是 | |
| 使用访问: | 是 | |
| 访问互联网: | 否 | |
