病毒名称:Backdoor.Win32.IRCBot.afm(Kaspersky)
病毒别名:Trojan.Win32.Agent.vyl(瑞星)
Win32.Hack.IRCBot.o.40960(毒霸)
病毒大小:40,960 字节
加壳方式:
关联病毒:
传播方式:通过MSN传播,通过管理共享在局域网内传播
技术分析
==========
病毒运行后在系统目录生成副本和带毒压缩包,病毒副本文件名不固定,大部分与系统文件名相同,可能有以下几种:
%System%algs.exe
%System%csrs.exe
%System%explorer.exe
%System%firewall.exe
%System%iexplore.exe
%System%isass.exe
%System%logon.exe
%System%lssas.exe
%System%spooisv.exe
%System%spoolsvc.exe
%System%winamp.exe
%System%winiogon.exe
创建的自启动项可能有以下几种:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Application Layer Gateway Service"="%System%algs.exe"
"Client Server Runtime Process"="%System%csrs.exe"
"Local Security Authority Service"="%System%Isass.exe"
"Local Security Authority Service"="%System%lssas.exe"
"Microsoft Internet Explorer"="%System%iexplore.exe"
"Spooler SubSystem App"="%System%spooIsv.exe"
"Spooler SubSystem App"="%System%spoolsvc.exe"
"Winamp Agent"="%System%winamp.exe"
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!