当前位置:在线查询网 > 在线百科全书查询 > Trojan-Spy.Win32.VB.gm

Trojan-Spy.Win32.VB.gm_在线百科全书查询


请输入要查询的词条内容:

Trojan-Spy.Win32.VB.gm

Trojan-Spy.Win32.VB.gm病毒第一次运行时,在临时文件夹中创建一个临时文件,文件名是随机的,添加注册表启动项,达到随系统启动的目的。病毒运行后尝试窃取某些信息,发送给作者。该病毒对用户有一定的危害。

病毒名称

Trojan-Spy.Win32.

病毒类型: 木马类

文件 MD5: 001a2fa3b9f9bf75974f33db8097487b

公开范围: 完全公开

危害等级: 中

文件长度: 216026 字节

感染系统: Windows9X以上版本

开发工具: Visual Basic 5.0 - 6.0

加壳类型: UPX

命名对照: Symentec[W32.Pinfi]

Mcafee[W32/Pate.b]

病毒描述

行为分析:

1、病毒第一次运行时,在% Documents and Settings % \\admin\\Local Settings\\Temp中创建一个临时文件,文件名是随机的。例如:com32.tmp

2、修改注册表,添加注册表启动项:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值:字串:“mServer”="(病毒所在路径)"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache

键值:字串:”(病毒所在路径)”=""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\

键值:字串:””= "Microsoft WinSock Control, version 6.0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\InprocServer32

键值:字串:”ThreadingModel”="Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\MiscStatus\\1

键值:字串:””="132497"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\MiscStatus

键值:字串””="0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\ProgID\\

键值:字串:””="MSWinsock.Winsock.1"

注:% Documents and Settings %是一个可变路径。操作系统中默认的安装路C:\\ Documents and Settings 。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值:字串:“mServer”="(病毒所在路径)"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache

键值:字串:” (病毒所在路径)”="www."

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\

键值:字串:””= "Microsoft WinSock Control, version 6.0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC

0080C7E7B78D}\\InprocServer32

键值:字串:”ThreadingModel”="Apartment"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\MiscStatus\\1

键值:字串:””="132497"|

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\MiscStatus

键值:字串””="0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\\ProgID\\

键值:字串:””="MSWinsock.Winsock.1"

相关分词: Trojan-Spy Trojan Spy Win 32 VB gm