“POPHOT点击器变种JO”病毒技术细节

大中小 [ 位置: 1 ^# ] taong 发表于 2008-3-10 08:07 只看该作者 [复制帖子链接到剪贴板]

“POPHOT点击器变种JO”病毒技术细节

病毒运行后，先把自己复制到System路径下，然后在System32文件夹下创建inf文件夹并释放病毒文件zyxpRes080302.exe和mwiszyys32_080302.dll，最后再System32文件夹下释放病毒动态库mwiszyys32_080302.dll。

mwiszyys32_080302.dll用来反杀毒软件，该动态库会被注入到Iexplorer.exe进程中，动态库被加载后会查找进程中是否存在KRegEx.exe、KVXP.kxp、360tray.exe 等杀毒软件进程，如果发现则结束该进程。

mwiszyys32_080302.dll会被注入到Rundll32.exe进程中，动态库被加载后会把自己添加到防火墙的信任列表中，使得自己访问网站时不会被防火墙阻拦。

查看详细资料

用户组: 信息军队-少尉

Rank: 6

发短消息
加为好友
当前离线

TOP

‹‹ 上一主题 | 下一主题 ››

Processed in 0.077302 second(s), 6 queries, Gzip enabled.

-------------------------------------------------------------------------------------------------------------