trojan-downloader.win32.vb.hoa病毒简要分析

    
     行为表现:
1, 建立与U盘中文件夹同名的exe文件,大小为1.44m。
2,释放文件c:\windows\system32-com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,og.dll,og.EDT,RegEx.fnr,shell.fne,spec.fne,ul.dll,XP-3196B69A。EXE样本不全,只是截获到一部分功能。
3, XP-3196B69A.EXE是一个下载者,运行都首先打开同名的文件夹,之后添加启动项
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\    .lnk
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
都是指向C:\WINDOWS\system32\XP-3196B69A.EXE
4,下载伪装成gif的exe程序http://twocannon250.com.cn/i.gif
5,打开钓鱼网站http://www.kldcg.cn/k.html?mid=2309
点击放大图片


解决办法:
用FileForceKiller清除上述文件,删除注册表的相关启动项。


病毒样本下载:
纳米下载地址


以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 金刀客 于 2009-12-30 11:24 AM 编辑]
相关日志:
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.