“下载器蠕虫变种AH”病毒技术细节
病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe,然后添加以下注册表项实现自启动:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Thundet" = THUNDET.EXE
病毒会从[url]http://www.xxx.net/mm/[/url]网址下载并运行木马病毒26个程序,同时病毒会感染脚本文件,在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本。
病毒还会添加以下注册表项实现映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = 360tray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = KMDEVMONSRV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = VsTskMgr.exe
最后病毒会把自己拷贝到各个磁盘下,添加autorun.inf使得用户打开磁盘的同时运行病毒程序。
页:
[1]