Win32.Troj.AirNet简介_Win32.Troj.AirNet个人资料_Win32.Troj.AirNet微博_百科网
A-A+

Win32.Troj.AirNet简介_Win32.Troj.AirNet个人资料_Win32.Troj.AirNet微博

2018-04-24 01:13:11 科学百科 阅读 3 次

 

病毒简介/Win32.Troj.AirNet 编辑

病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT


 

病毒行为/Win32.Troj.AirNet 编辑

该病毒是一个木马病毒。用户执行后,在系统目录下拷贝自身为SVCH0ST.EXE,并将属性设为系统文件并隐藏,然后执行系统目录下的病毒文件,删除原目录中副本,以达到隐藏自身的目的。该病毒的主要危害是盗取用户各种密码,并邮寄到指定邮箱,极大地侵犯了用户的隐私,损害了用户的利益。

1,生成文件
%system%SVCH0ST.EXE(病毒可执行文件,注意类似svchost.exe)
%system%mmdat.dat(初期记录原病毒文件,自己会删除掉)
%system%ntdll32.dll(病毒文件,注意区别ntdll.dll)
%system%wdata32.dll(病毒记录密码的文件)

2,添加注册表
HKCRexefileShellOpencommand
"默认"="%system%SVCH0ST.EXE %1 %*"(关联exe文件,使用户执行程序时执行病毒文件)
HKLMSoftwareMicrosoftwindowsCurrentVersionRunServices
"SVCHOST"="%system%SVCH0ST.EXE"(添加启动项,以服务形式自启动)

3,病毒行为
通过查找"password"等字符串,盗取用户密码,并寄往指定的邮箱。