基本介紹
- 中文名:Win32.Troj.WOW.fg
- 類型:木馬
- 處理時間:2006-12-28
- 威脅級別::★
病毒別名,病毒行為,
病毒別名
處理時間:2006-12-28 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1、生成的檔案
%SystemRoot%\system32\windhcp.ocx
2、添加偽系統服務,隨系統啟動
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Type" = "0x10"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"ImagePath" = "%SystemRoot%\system32\rundll32.exe windhcp.ocx,start"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"DisplayName" = "Windows DHCP Service"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Description" = "為遠程計算機註冊並更新 IP 地址。"
3、釋放病毒安裝一臨時驅動,
結束相關安全軟體進程
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"Type" = "0x1"
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"Start" = "0x4"
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"ImagePath" = "\??\%SystemRoot%\system32\Drivers\CelInDriver.sys"
4、生成一bat檔案實現自刪除。
