进程文件: jgdw400 或 jgdw400.dll
进程位置: 系统目录
程序名称: Troj_Spy.AOL
程序用途: 间谍木马病毒
程序作者: 美国在线
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 较低
进程分析: 美国在线(AOL文件),包括:jgaw400.dll,jgdw400.dll,jgpl400.dll,jgmd400.dll,jgsd400.dll ,jgsh400.dll等等。美国在线(时代华纳)是全美最大的网络服务商,是目前世界上两家真正通过网络赢利的公司之一,这个巨大的公司利用与微软的关系,在微软安装盘中将他的可以用于掌握中国用户的.dll模块写入系统文件。不论其用意如何,都是非系统文件,客气地说:都可能具有间谍木马病毒的嫌疑。
进程文件: mssvcc 或 mssvcc.exe
进程位置: 系统目录
程序名称: W32/rbot-bjv
程序用途: 后门木马病毒,网络蠕虫。
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: 该病毒通过多种途径传播,主要是利用微软操作系统弱密码漏洞等弱点入侵,包括:DCOM-RPC, LSASS, WKS和ASN.1。病毒可以通过隐蔽的控制IRC服务器执行如下任务:打开FTP服务器,打开代理服务器,通过文件传输协议服务器参与分配拒绝服务攻击(DDOS),端口扫描,日志记录,下载代码,远程攻击。该病毒修改注册表创建RunServices/msconfig38项实现自启动,运行后将病毒模块encdec.dll,nsp.dll注入进程运行,病毒执行文件还有:winsystems.exe,algs.exe,lssas.exe,spooIsv.exe等等
看看人家的分析.
