Beyond 工作室论坛 - 木马百科 - Backdoor.Win32.Small 木马专家专业的防杀木马软件

小下载者后门 Backdoor.Win32.Small

该病毒为下载者木马类，病毒运行后调用API获取系统文件夹路径，创建___temp.bat
到%Windir%\Temp目录下，并执行批处理代码，目的将%Windir%\目录下与%system32%
\dllcache目录下的explorer.exe文件授予当前用户完全控制权限，调用
ZwQuerySystemInformation函数枚举进程模块，判断是否存在SunwardSysMon.sys
（驱动防火墙文件），释放病毒驱动文件hook.sys到%Windir%\Temp目录下，创建病毒
服务，等待加载完毕后将病毒驱动文件删除，并衍生病毒文件到系统目录%Windir%\Temp
下；重命名为weilai.mp3；该文件伪装成MP3格式文件隐藏运行，连接网络下载大量恶意
文件，下载的病毒文件多数为盗号木马，受感染用户还有可能会被操纵进行Ddos攻击、远
程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

由于此木马本身很小,所以非常利于传播,用户不容易发现它.

------------------签名------------------
论坛管理员
Beyond工作室

主题: Backdoor.Win32.Small
作者:枫	楼主
小下载者后门 Backdoor.Win32.Small 该病毒为下载者木马类，病毒运行后调用API获取系统文件夹路径，创建___temp.bat 到%Windir%\Temp目录下，并执行批处理代码，目的将%Windir%\目录下与%system32% \dllcache目录下的explorer.exe文件授予当前用户完全控制权限，调用 ZwQuerySystemInformation函数枚举进程模块，判断是否存在SunwardSysMon.sys （驱动防火墙文件），释放病毒驱动文件hook.sys到%Windir%\Temp目录下，创建病毒服务，等待加载完毕后将病毒驱动文件删除，并衍生病毒文件到系统目录%Windir%\Temp 下；重命名为weilai.mp3；该文件伪装成MP3格式文件隐藏运行，连接网络下载大量恶意文件，下载的病毒文件多数为盗号木马，受感染用户还有可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。由于此木马本身很小,所以非常利于传播,用户不容易发现它. ------------------签名------------------ 论坛管理员 Beyond工作室
发表时间:2008-6-19 19:46:23

快速回复
默认支持UBB,如果你不希望支持UBB或要其它功能你可以用高级回复进行编辑	标题内容