Win32.Troj.Agent.184320是一個黑客木馬。該木馬會修註冊表,添加自己的監視程式。系統啟動時,它著隨Exlporer.exe啟動,然後利用監視程式攔截用戶訪問網路時輸入的敏感數據。
基本介紹
- 中文名:Win32.Troj.Agent.184320
- 類型:木馬病毒
- 病毒長度:77816
- 病毒別名:竊聽木馬184320
病毒名稱,病毒行為,
病毒名稱
病毒行為
1.複製檔案:
%sys32dir%\ro.dll
2.添加到到註冊表:
添加以下註冊表項,添加到ShellExcuteHooks和SPI:
[KEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FDEB171-8F86-4669-B664-69B8DB553683}\InProcServer32]
@"C:\WINDOWS\system32\ro.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{3FDEB171-8F86-4669-B664-69B8DB553683}""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\SockEyeS]
1001"%SystemRoot%\system32\mswsock.dll"
PathName"C:\WINDOWS\system32\ro.dll"
3.破壞方式
該木馬運行後,複製自身到系統資料夾,在註冊表中添加ShellExcuteHooks項,在系統啟動後隨Exlporer.exe啟動,
另外還通過添加到WinSock的註冊表項,添加到SPI,攔截用戶訪問網路的敏感數據,將敏感數據傳送給收集者
