Win32.Troj.RootKitT.ey.48864
病毒名称(中文):QQ盗号木马48864病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:49824影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个QQ盗号程序。会在磁盘中释放出文件,会修改注册表。然后读取QQ数据,盗窃密码。
行为分析:
在磁盘中释放出以下文件:
C:\WINDOWS\system32\dnssvr.dll
会从以下注册表中读取信息:
"HKLM\SOFTWARE\Tencent\QQ\QBox"
在系统中创建了以下进程:
病毒尝试通过 rundll32 执行 C:\WINDOWS\system32\dnssvr.dll , Install
"rundll32"
病毒会读取QQ的文件数据,利用网络将赃物发送到指定地址
Win32.PSWTroj.OnLineGames.786432
病毒名称(中文):网游盗号木马786432病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:1070880影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个盗号木马的组成部分。它会在磁盘中释放出文件,并修改注册表。
在磁盘中释放出以下文件:
C:\WINDOWS\system32\dnssvr.dll
在注册表中创建了以下信息:
"HKCR\CLSID\{528DF602-9541-A985-210A-984A698C6F25}\InprocServer32"
在注册表中设置了以下信息:
"HKCR\CLSID\{528DF602-9541-A985-210A-984A698C6F25}\InprocServer32" "" "C:\WINDOWS\SYSTEM32\ptjhehlp.dll"
"HKCR\CLSID\{528DF602-9541-A985-210A-984A698C6F25}\InprocServer32" "ThreadingModel" "Apartment"
在系统中创建了以下进程:
病毒会枚举系统进程,可能会对一些安全进程进行关闭操作
Win32.LwyLoad.n.52985
病毒名称(中文):病毒作业52985病毒别名:威胁级别:★☆☆☆☆病毒类型:宏病毒病毒长度:52985影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个感染型病毒。它会把自己附加到正常的EXE可执行文件中,利用这些文件的复制来进行传播。当进入系统后,它就释放dll文件并在后台运行。这病毒看上去像是病毒作者用于练手的作品,对系统没有明显的破坏能力。
1, 感染型变种,感染正常文件,被感染文件新增加一节表名为.LWY,病毒代码中有很多调试信息;
2, 判断%Systemroot%\dnssvr.dll是否存在,如果存在,则调用rundll32并传入%Systemroot%\dnssvr.dll
作为参数加载;
3, 如果dnssvr.dll不存在,刚创建文件,并调用rundll32加载该dll
dnssvr.dll不是系统文件,极有可能是木马或者是流氓软件的残留文件!开始运行msconfig-启动,取消勾选dnssvr.dll,确定重启一下
