Trojan-Dropper.Win32.Agent.bvs
=================================================================
sxs.exe样本信息:
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 BDS/Graybird.GN.462336
Authentium 4.93.8 2007.09.15 -
Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.15 -
CAT-QuickHeal 9.00 2007.09.14 -
ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.15 Backdoor.BlackHole.j
FileAdvisor 1 2007.09.15 -
Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr
F-Prot 4.3.2.48 2007.09.15 -
F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir
Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
McAfee 5120 2007.09.14 BackDoor-CGX
Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T
NOD32v2 2531 2007.09.15 -
Norman 5.80.02 2007.09.14 W32/Malware.APNA
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 19.40.51.00 2007.09.15 -
Sophos 4.21.0 2007.09.15 Mal/Generic-A
Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T
Symantec 10 2007.09.15 W32.SillyFDC
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird.GN.462336
附加信息
File size: 505733 bytes
MD5: b3bc73a0649c097457099d1d8363213d
SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e
packers: BINARYRES
Prevx info: [url]http://fileinfo.prevx.com/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310[/url]
=================================================================
文件改动:
创建:
C:\WINDOWS\system32\sysclient.exe
C:\WINDOWS\system\services.exe
C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)
-----------------------------------------------------------------
注册表改动:
添加:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File
HKCR\dlll_Auto_File Desired Access: All Access
HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll
=================================================================
创建了新的文件类型,把打开方式指向病毒主文件,在run键值里面直接写入C:\WINDOWS\WinStar.dlll;
且不论这种加载方式是否高明,这个病毒是否厉害,相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说,这个东西算是有创新精神了;
当然,制作病毒始终是犯法的,取其创新精华吧。
P.S.很久没有上传样本到VT检测,今天居然发现它有中文版了,呵呵!
=================================================================
原创作者dikex(六翼刺猬)文章地址:
[url]http://hi.baidu.com/dikex/blog/item/102881097eddec276b60fb9d.html[/url]
转载于:https://blog.51cto.com/yuncx/42659
Trojan-Dropper.Win32.Agent.bvs相关推荐
- 遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等 endurer 原创 2007-07-30 第1版 刚才," ...
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等3
endurer 原创 2007-06-22 第1版 由于病毒进程存在,而且会自动运行IE打开利用系统漏洞传播的网页,所以将IE设置为脱机工作. 然后先卸掉中文上网,雅虎助手. 用WinRAR删除C,D ...
- 遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等
遭遇Trojan.DL.Win32.Autorun.yuz,Trojan.Win32.Inject.gh,Trojan.Win32.Agent.zsq等 endurer 原创 2007-10-23 第 ...
- Trojan.Win32.Agent.vti的查杀举例
作者:清新阳光 ( [url]http://hi.baidu.com/newcenturysun[/url] ) 这 ...
- 遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1
遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1 endurer 原创 2008-06-03 第1 ...
- 某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu
某农业产品贸易网挂马Trojan.DL.Win32.Mnless.bes/Trojan-Dropper.Win32.Agent.xdu endurer 原创 2008-09-29 第1版 发现了挺久了 ...
- 某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a / Backdoor.Win32.Hupigon.jmq
某雅思培训网站被挂 server.exe / Dropper.Win32.BlackHole.a/ Backdoor.Win32.Hupigon.jmq endurer 原创 2007-09-12 第 ...
- 遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2
遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2 endurer 原创 2007-11-22 第1版 检查发 ...
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2
遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2 endurer 原创 2007-08-1 ...
最新文章
- 反码求和校验: 一个数加上自己取反得到的数正是时钟轮盘上最大那个数
- finalshell Linux 传输文件 xftp
- linux下使用gcp拷贝数据的时候显示进度条
- 深度学习之卷积神经网络(4)LeNet-5实战
- Linux宏定义实现类成员函数,全面解析Linux内核的同步与互斥机制
- 我和阿里巴巴的孽缘(一)
- python函数基本概念_python——函数的基本概念
- 毕业后拉开距离的真正原因!
- mysql日期格式转换_MySQL日期格式转换
- [机器学习笔记]奇异值分解SVD简介及其在推荐系统中的简单应用
- 绘制函数z = x2 + y2所表示的三维网格图
- 百度echart resize的坑
- c语言怎么用setw输出每行6个,setw和setfill控制输出间隔
- Gazebo踩坑(一)[Err] [REST.cc:205] Error in REST request
- 用JS实现万年历效果,精!
- 国密算法SM3与SM4简介与应用
- 洗衣机挂墙上?大宇这款产品天猫618增长364%的秘诀是…
- 上海的“户口”和“居住证”到底有哪些不同?
- 权衡使用云计算解决方案的利与弊
- 解构微信(一):邮件中诞生与开发的逆境