Win32.Troj.Maran.bo是什么病毒 - shashadu.com 杀杀毒病毒库

Win32.Troj.Maran.bo 病毒信息
- 病毒别名：N/A
  中文名称：N/A
  威胁级别：★
- 处理时间：N/A
  病毒类型：木马
  影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为：
该病毒是一个盗号木马。该病毒盗取雅虎通、MSN、GASH等帐号密码，并将盗取的帐号密码以邮件发送给盗号者。建议电脑用户升级病毒库查杀该病毒，以免中毒造成损失。

1、生成的文件
C:\WINNT\system32\hs4viewer.dll
C:\WINNT\avp.exe

2、添加驱动
HKLM\System\CurrentControlSet\Services\WS2IFSL
"Type" = "0x1"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"Start" = 0x2"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"ImagePath" = "\SystemRoot\System32\drivers\ws2ifsl.sys"
HKLM\System\CurrentControlSet\Services\WS2IFSL
"DisplayName" = "Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境"

3、添加伪系统服务
HKLM\System\CurrentControlSet\Services\VGADown
"Type" = "0x10"
HKLM\System\CurrentControlSet\Services\VGADown
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\VGADown
"ImagePath" = "C:\WINNT\avp.exe"
HKLM\System\CurrentControlSet\Services\VGADown
"DisplayName" = "Audio Adapter"

4、修改SPI，其DLL路径为C:\WINNT\system32\hs4viewer.dll。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001

5、在系统目录下生成delplme.bat批处理文件实现自删除。

点击数：