ravmon.exe,Win32.Troj.Agent.in.49152

2008/12/10 来源:www.arpun.com 作者:小白

Win32.Troj.Agent.in.49152是一个能够自动传播的远程后门木马。 它将自己的文件伪装成系统进程, 进入电脑系统后就将用户电脑与黑客服务器相连接, 试图帮助黑客入侵用户的电脑。

在磁盘中释放出以下文件:

C:WINDOWSSVCHOST.EXE

C:WINDOWSSVCHOST.INI

C:AutoRun.inf

C:RavMon.exe

C:WINDOWSMDM.EXE

C:WINDOWSTEMP9988.tmp

在磁盘中删除了以下文件:

C:WINDOWSTEMP9988.tmp

在注册表中创建了以下信息:

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"

"HKCUSoftwareExplore"

在注册表中设置了以下信息:

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" "CheckedValue" "0"

在注册表中修改了以下信息:

"HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" "Hidden" ""

会从以下注册表中读取信息:

"HKCUSoftwareMicrosoftWindowsCurrentVersionRun"

"HKLMSoftwareMicrosoftWindowsCurrentVersionRun"

病毒会连接作者指定的网址:

域名:"chacent.cn" 端口:80 (IP)

chacent.cn/task.asp?mac=00095b2540e0

在磁盘中创建以下配置文件:

SVCHOST.INI [INFO] "version" "104"

SVCHOST.INI [INFO] "win" "WCZOZCDNSSNEDKYQ"

C:AutoRun.inf [AutoRun] "open" "RavMon.exe"

C:AutoRun.inf [AutoRun] "shellopen" "&O)"

C:AutoRun.inf [AutoRun] "shellopenCommand" "RavMon.exe"

网友评论
评论(...
全部评论