一起杀毒报:Trojan.Pcprotector木马值得关注
发现:2010年2月23日
更新日期:2010年2月23日下午10时18分35秒
类型:Trojan
受影响系统:Windows98,Windows95,Windows XP,Windows Me,Windows Vista,Windows NT,Windows Server 2003,Windows 2000
该木马可能会到达被感染的计算机作为一个手动安装或可能被其他恶意软件下载以下安装名称:“保护您的PC”。
一旦执行,该木马创建下列文件:
C:\Documents and Settings\All Users\Desktop\Your PC Protector.lnk
%ProgramFiles%\adc32.dll
%ProgramFiles%\alggui.exe
%ProgramFiles%\nuar.old
%ProgramFiles%\schtml\dbsinit.exe
%ProgramFiles%\schtml\images\i1.gif
%ProgramFiles%\schtml\images\i2.gif
%ProgramFiles%\schtml\images\i3.gif
%ProgramFiles%\schtml\images\j1.gif
%ProgramFiles%\schtml\images\j2.gif
%ProgramFiles%\schtml\images\j3.gif
%ProgramFiles%\schtml\images\jj1.gif
%ProgramFiles%\schtml\images\jj2.gif
%ProgramFiles%\schtml\images\jj3.gif
%ProgramFiles%\schtml\images\l1.gif
%ProgramFiles%\schtml\images\l2.gif
%ProgramFiles%\schtml\images\l3.gif
%ProgramFiles%\schtml\images\pix.gif
%ProgramFiles%\schtml\images\t1.gif
%ProgramFiles%\schtml\images\t2.gif
%ProgramFiles%\schtml\images\Thumbs.db
%ProgramFiles%\schtml\images\up1.gif
%ProgramFiles%\schtml\images\up2.gif
%ProgramFiles%\schtml\images\w1.gif
%ProgramFiles%\schtml\images\w11.gif
%ProgramFiles%\schtml\images\w2.gif
%ProgramFiles%\schtml\images\w3.gif
%ProgramFiles%\schtml\images\w3.jpg
%ProgramFiles%\schtml\images\word.doc
%ProgramFiles%\schtml\images\wt1.gif
%ProgramFiles%\schtml\images\wt2.gif
%ProgramFiles%\schtml\images\wt3.gif
%ProgramFiles%\schtml\wispex.html
%ProgramFiles%\skynet.dat
%ProgramFiles%\some.dat
%ProgramFiles%\svchost.exe
%ProgramFiles%\wp3.dat
%ProgramFiles%\wp4.dat
%ProgramFiles%\Your PC Protector
%ProgramFiles%\Your PC Protector\Your PC Protector.exe
%Temp%\8fc
%UserProfile%\Start Menu\Programs\Your PC Protector
%UserProfile%\Start Menu\Programs\Your PC Protector\Your PC Protector.lnk
%Windir%\Temp\8fc
%Windir%\Temp\a7b
它创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}\"(Default)" = "ADC PlugIn"
HKEY_CLASSES_ROOT\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}\InprocServer32\"(Default)" = "%SYSTEM%\Program Files\adc32.dll"
HKEY_CLASSES_ROOT\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}\InprocServer32\"ThreadingModel" = "Apartment"
HKEY_CURRENT_USER\Software\Your PC Protector\Your PC Protector\setdata\"scantime" = "[CURRENT TIMESTAMP]"
HKEY_CURRENT_USER\Software\Your PC Protector\Your PC Protector\setdata\"scantime" = "[CURRENT TIMESTAMP]"
HKEY_CURRENT_USER\Software\Your PC Protector\Your PC Protector\setdata\"scncnt" = "[NUMBER]"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AdbUpd\"DisplayName" = "Adobe Update Service"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AdbUpd\"ErrorControl" = "0x00000001"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AdbUpd\"ImagePath" = "%SYSTEM%\Program Files\svchost.exe""
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AdbUpd\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\AdbUpd\"Start" = "0x00000002"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\"Type" = "0x00000010"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security\"Security" = "[DATA]"
然后修改以下注册表项:
HKEY_CLASSES_ROOT\exefile\shell\open\command\"(Default)" = "%SYSTEM%\Program Files\alggui.exe "%1" %*"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\"Locked" = "0x00000001"
然后该木马会阻止其他应用程序的执行,并显示以下虚假错误信息:
标题:警告!
内容:应用程序无法正常运行。
该文件[文件路径和名称]被感染。
该木马也可能会显示以下警告消息之一:
标题:警告感染检测
正文:Windows发现在您的计算机间谍软件感染!点击这里更新您的Windows的防病毒软件...
然后显示扫描的虚假误导的结果:
标题:警告感染发现3
正文:有害的软件(恶意软件),或追踪Cookie已发现在一次扫描。我们强烈建议从计算机中删除它。
标题:Svchost.exe
正文:Svchost.exe中遇到了问题,需要关闭。我们很抱歉造成您的不便。
注:一起杀毒网(17Shadu.com)建议您,在计算机重新启动的时候按“F8”键进入“带网络的系统安全模式”然后使用一起杀毒网(17Shadu.com)为您提供的在线杀毒功能,进行更彻底的扫描与清除。如果您有什么问题需要帮忙,可以加入我们的QQ高级群“一起DIY(群号:61523376)”和大家一起讨论解决问题。
分类: 
阅读数() | 
评论() | 
赞助商链接
问答专区
- 服务
- 焦点
- 八卦
发表评论:
不能超过200字节,请自觉遵守互联网相关政策法规.