|
是个经过伪装的木马下载器。它利用电脑用户对于屏保退出的方法不熟悉,以及用户们对安全的渴望,在电脑中伪造系统崩溃现象,欺骗用户下载一个所谓的“杀毒软件”。
1.先释放ph[随机字符].bmp到%windir%\system32\下
2.将自身复制到%windir%\system32\下的lph[随机字符].exe ,删除自己
3.释放blph[随机字符].scr到%windir%\system32\下
4.在注册表中创建
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run\"lph[随机字母]" = "%windir%\system32\lph[随机字母].exe"
5.释放C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.tt[随机数字].tmp.vbs (开启系统还原)
6.修改注册表的桌面和屏保设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "0" (开启系统还原)
HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "0 0 255" (背景改成蓝色)
HKEY_CURRENT_USER\Control Panel\Desktop\"ScreenSaveActive" = "1"
HKEY_CURRENT_USER\Control Panel\Desktop\"TileWallpaper" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\"InstallationID" = "906b1f2d-66b5-439e-8c02-9d08858fe527"
HKEY_CURRENT_USER\Control Panel\Desktop\"Conve rtedWallpaper" = "%windir%\ph[随机字母].bmp"
HKEY_CURRENT_USER\Control Panel\Desktop\"SCRN SAVE.EXE" = "%windir%\blph[随机字母].scr"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\"NoDispBackgroundPage" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"NoDispScrSavPage" = "0"
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Sc reen Saver\"EULAAccepted" = "1"
(Bluescreen Screen Saver屏保产生的一个键值,该屏保模拟Windows系统的蓝屏死机现象)
7.连接"http://xxxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6 a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"
"http://xxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a7948 65487ec3d65dd0/6332a675-07cc-4d5b-bf4"
下载伪杀毒软件(链接失效)
|
免责声明:本网转载内容均注明出处,转载是出于传递更多信息之目的,并不代表我们立场。 |
| 
添加到百度搜藏