Trojan/Axela是電腦病毒,傳播方式為網路。
基本介紹
- 中文名:Trojan/Axela
- 外文名:Trojan/Axela.b;Trojan/Axela.c;Trojan/Axela.d;Trojan/Axela.e
- 病毒種類:木馬
- 病毒大小:19456位元組
基本信息,技術分析,
基本信息
18432位元組,19968位元組,17920位元組
近期,江民反病毒中心收到大量用戶反應,在用QQ聊天時會收到類似“點擊下面網址可以下載某某電子書”的訊息,一旦點擊了訊息中提到的網址立即中毒。造成大批用戶中毒的元兇是Trojan/Axela木馬病毒的多個變種。江民僅在最近一個星期就截獲了4個最新變種Trojan/Axela.b,Trojan/Axela.c,Trojan/Axela.d和Trojan/Axela.e,關於它們的技術分析如下:
技術分析
1. 病毒程式運行後,將自身複製2份到%Windir%\System目錄下,檔案名稱分別為Noteped.exe和Taskmgr.exe,這2個檔案都是隱含的。
Trojan/Axela.d和Trojan/Axela.e的圖示與之前的版本有所不同,並多生成一個windll.dll檔案。windll.dll檔案中包含一些侮辱性的文字。
2. 在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加啟動項:
“taskmgr” = “%Windir%\system\taskmgr.exe”
偽裝成任務管理器程式,這樣系統啟動時,病毒即得以運行。
3. 修改TXT檔案的關聯HKEY_CLASSES_ROOT\txtfile\shell\open\command,
“默認”= “NOTEPED.EXE %1”
這樣,在打開任何文本檔案時,都會觸發病毒再次運行。
4. 修改IE默認主頁項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
5. 通過QQ聊天軟體自動向用戶的好友傳送含有病毒網址的訊息。病毒網頁上有一個flash檔案,會自動下載病毒程式。
具有迷惑性的是,病毒傳送的訊息中包含目標用戶的QQ暱稱,企圖降低用戶的警惕,這也是造成該病毒近期泛濫的原因之一。