龙儿 - 2003/8/1 21:02:00
江民公司反病毒小组最新截获了一种能够结束掉杀毒软件进程的特洛伊木马病毒。此木马病毒结束掉的进程大部分都是反病毒软件和网络安全软件所需要的。
该木马病毒的英文表现名字为Trojan/Beway,病毒大小6KB。当这个特洛伊马被执行时,它的表现形式为;首先检查被感染主机的系统文件夹下是否存在一个叫做Vprot32.exe的可执行文件,如果这个文件不存在,那么这个特洛伊马病毒就会创建这个文件,同时把值VirusProt32%windir%vprot32.exe添加到注册表项
HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun下。目的是每当被感染的主机上的系统启动时,就会自动执行这个特洛伊马程序。接着,这个特洛伊马试图把自己注册为系统上的一个服务进程。在这个注册表链接点中还可能试图把一些反病毒软件的系统服务给停止掉。一旦这个特洛伊马作为一个系统的服务运行起来,它就开始恶意地停止掉超过100其它的程序的进程。这些进程大部分都是反病毒软件和网络安全软件所需要的。
最后,这个特洛伊马试图下载并释放出一个叫做Backdoor.Subseven的后门程序的拷贝文件,为了下载这个后门程序,它首先会尝试把IP地址指向www.microsoft.com,如果成功的话,这个特洛伊马就会下载Backdoor.Subseven后门程序的拷贝文件。
丫叫尖刀
[ Last edited by 龙儿 on 2003-8-1 at 09:03 PM ]