收到一个病毒分析报告,这个病毒将Sysinternals系列工具软件列为新的对抗目标。www.Sysinternals.com提供了一系列非常优秀的系统管理小工具,其中Process Explorer、autoruns、filemon、regmon、tcpview、dbgview是手动杀毒爱好者经常使用的工具。
以下是这个病毒的详细信息
病毒全名:Win32.Troj.Undef.11776
病毒长度:11776
威胁级别:★★
病毒类型:木马
病毒简介
这是一个盗号木马程序,该程木马会盗取网络游戏账号,关闭杀毒软件。
病毒运行特征
1、释放文件
%systemroot%\SoftwareDistribution\Uninstall.bin
%systemroot%\system32\cryptnet21.dll
%systemroot%\system32\NvCpl64.dll
%systemroot%\system32\IPv6.dll
%systemroot%\system32\WinXP.bmp
%systemroot%\system32\drivers\ReSSDT.sys
在每个分区的根目录下生成
Thumbs.lnk
AutuRun.inf
2、添加注册表启动项
HKLM\SOFTWARE\Microsoft\windows\currentversion\
runNvCpl = "rundll32.exe %systemroot%\system32\NvCpl64.dll,NvStartup"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
WindowsAppInit_DLLs = "%systemroot%\system32\IPv6.dll"
将"%systemroot%\system32\WinXP.bmp",添加到BHO中。BHO名字为Thunder5BHO,CLSID为{00000231-1000-0010-8000-00AA006D2EA4}。
