百度空间 | 百度首页 
 
查看文章
  
Trojan.Spy.Win32.Bancos.fdk
2009/05/22 16:12

文件信息:

文件名称:activex.exe

编写语言:VB

大小:44,560 byte

MD5:83f5e5ed7d6e5987fbef7b348b771483

病毒名:Kaspersky:N/A

               Rising:Trojan.Spy.Win32.Bancos.fdk

下载地址:hxxp://yes9821.3322.org/web/activex.exe

行为:

向%system32%下释放activex.exe:

创建文件:
进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe
文件路径:C:\WINDOWS\system32\activex.exe

删除自身:

删除文件:

进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe
文件路径:C:\Documents and Settings\Administrator\桌面\activex.exe

向%system32\wbem下创建文件:

创建文件 :

进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\system32\wbem\fonts.exe

向鼠标指针文件夹Cursors释放文件:

创建文件 :

进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\Cursors\beifen.exe

创建文件:
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\Cursors\qqwx.exe

向%system%下释放文件:

创建文件 :
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\system32\lssas.exe

向注册表写入服务项:

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:[Key]

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Type=0x00000110

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Start=0x00000002

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ErrorControl=0x00000001

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ImagePath=C:\WINDOWS\Cursors\qqwx.exe

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:DisplayName=Microsoft sp6

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ObjectName=LocalSystem

创建注册表值:
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Description=系统登陆初始界面,终止该服务将导致系统不能正常登陆

安装服务:

安装服务或者驱动:
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\Cursors\qqwx.exe

创建自启项:

创建注册表值:
进程路径:C:\WINDOWS\Cursors\qqwx.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:StormCodec_Helper=C:\WINDOWS\system32\activex.exe

注:%system32%表示%windir%\system32

SREng扫描异常项:


类别:病毒小分析 | 添加到搜藏 | 浏览() | 评论 (3)
 
最近读者:
 
网友评论:
1
2009/05/22 22:08 | 回复
C:\WINDOWS\Cursors\qqwx.exe
C:\WINDOWS\system32\activex.exe
C:\WINDOWS\system32\lssas.exe
这些文件相同的?病毒链接貌似已经失效了...

 
2
2009/05/26 22:41 | 回复
回复smallyou93:
不一样,不过fonts.exe和beifen.exe没动作.......
链接确实失效了......没保存样本
 
3
2009/05/27 19:57 | 回复
回复Back_way:......
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu