Win32.Troj.ADLoad.an是病毒木馬該病毒為Windows平台下的下載廣告的木馬型病毒,病毒運行後的通過網路下載相關的廣告外掛程式,下載後的檔案偽裝成系統正常檔案使用戶不易察覺。病毒主要通過捆綁軟體方式進行傳播。
基本介紹
- 中文名:Win32.Troj.ADLoad.an
- 病毒類型:木馬程式
- 病毒長度: 24576
- 中文名:未知
- 本病毒命名:未知
簡介,行為分析,描述,生成以下檔案,通過可用的網路資源下載以下檔案:,寫入註冊表項:,
簡介
中文名:未知
病毒類型: 木馬程式
病毒長度: 24576
本病毒所有命名:未知
行為分析
該病毒為Windows平台下的下載廣告的木馬型病毒,病毒運行後的通過網路下載相關的廣告外掛程式,下載後的檔案偽裝成系統正常檔案使用戶不易察覺。病毒主要通過捆綁軟體方式進行傳播。
描述
生成以下檔案
%Windir%\System32\magicap.dll
%Windir%\System32\magicap.ver
%Windir%\System32\magicaptmp.ver
%Windir%\System32\askmngr.exe
%Windir%\System32\autorun.inf
%Windir%\System32\askmngrtmp\.exe
%Windir%\System32\d11host.exe
%Windir%\System32\magicapf.log
%Windir%\System32\oleauto32.dll
%Windir%\System32tcoredll.dll
%Windir%System32\pcfap.dll
%Windir%\System32\fileap.dll
%Windir%\System32\fileap.ver
%Windir%\System32\msieinslog.dat
%Windir%\prfexp.dat
通過可用的網路資源下載以下檔案:
http://bms.y****.com/plugin/magicap.ver 保存為: %Windir%system32magicap.ver
http://bms.y****.com/plugin/taskmngr.exe 保存為: %Windir%system3 askmngr.exe
3、將%windir%system32spydll.dll注入explorer進程
寫入註冊表項:
[HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell ExtensionsApproved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
d11host="C:\WINNT\System32\d11host.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
GinaDLL="rpcfap.dll"
%Windir%\secupadf.dat
%Windir%\msimfinst.log
%Windir%\tcoredlltmp.dll
