文件名称:MicrSoft.exe
文件大小:22714 bytes
AV命名:Worm.Win32.AvKiller.ca (瑞星)
加壳方式:NsPack
文件MD5:b0f8c31ee946d6b761e78d4548416488
行为分析:
1、运行病毒体,首先释放一个批处理,修改系统日期,修改为:date 2005-10-31
使一些依赖时间的杀软、工具会失效。
2、释放病毒副本:
%Systemroot%system32MicrSoft.exe 22714 字节
3、修改注册表,开机启动:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
注册表值MicrSoft 指向:C:winntsystem32MicrSoft.exe
4、IFEPO重定向劫持,以下进程将被劫持:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!