机器狗变种 Trojan-Downloader.Win32.Agent.qpv分析
http://tech.ddvip.com 2008年06月13日 社区交流 收藏本文
本文详细介绍机器狗变种 Trojan-Downloader.Win32.Agent.qpv分析
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersion
ShellServiceObjectDelayLoad]
新建键值: "JavaView"
类型: REG_SZ
字符串: “{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}”
3、创建rundll32.exe使该进程加载病毒DLL文件。
4、连接网络读取列表下载大量恶意病毒文件到本地执行。
网络行为:
协议:TCP
端口:53
连接服务器名:125.83.89.**
IP地址:125.83.89.**
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
http://125.83.89.**:53/10.gif
http://125.83.89.**:53/11.gif
http://125.83.89.**:53/12.gif
http://125.83.89.**:53/13.gif
http://125.83.89.**:53/14.gif
http://125.83.89.**:53/15.gif
http://125.83.89.**:53/16.gif
http://125.83.89.**:53/17.gif
http://125.83.89.**:53/18.gif
http://125.83.89.**:53/19.gif
http://125.83.89.**:53/2.gif
http://125.83.89.**:53/20.gif
http://125.83.89.**:53/3.gif
http://125.83.89.**:53/4.gif
http://125.83.89.**:53/5.gif
http://125.83.89.**:53/6.gif
http://125.83.89.**:53/7.gif
http://125.83.89.**:53/8.gif
http://125.83.89.**:53/9.gif
http://abc.updat****.cn/21.gif
http://abc.updat****.cn/22.gif
http://abc.updat****.cn/23.gif
http://abc.updat****.cn/24.gif
http://abc.updat****.cn/25.gif
http://abc.updat****.cn/26.gif
作者:安天 责编:豆豆技术应用