添加注册表映像劫持
4、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、anti.exe、
ANTI-TROJAN.exe、antivir.exe、APVXDWIN.exe、atrack.exe、AUTODOWN.exe、
AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、
AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、
BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、
CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、
CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、
DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、
explorewclass.exe、F-AGNT95.exe、FINDVIRU.exe、fir.exe、F-PROT.exe、
f-prot95.exe、fp-win.exe、FRW.exe、f-stopw.exe、IAMAPP.exe、IAMSERV.exe、
IBMASN.exe、IBMA、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、
JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、
KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、
kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、
LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、
MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、
navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、
NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、
NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、
PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、
pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、pop3trap.exe、
PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、
RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、
scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、
secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、
SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、
TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、
UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、
VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、
WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、
zonealarm.exe
5、添加注册表项,创建服务加载驱动,并在该键下,添加子键,驱动的作用是使主动防御和还原保护失效。
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1
子键:"DisplayName"、"ErrorControl"、"ImagePath"、"Start"、"Type"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Enum
子键:"0"、"Count"、"NextInstance"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Security
子键:"Security"
6、将以下DLL文件(盗号木马)注入explorer.exe、system.exe等进程,监控消息队列和鼠标消息盗取用户的信息: appwinproc.dll、HBmhly.dll、HBmhly.dll、HBWOW.dll、HBDNF.dll、HBQQSG.dll、HBYY.dll、HBLYFX.dll、HBQQXX.dll、HBWD.dll、HBJTLQ.dll、HBJXSJ.dll、HBSHQ.dll、HBASKTAO.dll、HBCHIBI.dll、HBTW2.dll、DFB3DAC5.dll、DA63E650.dll、D7C79813.dll、9CA963CA.dll、4D023DE9.dll、201476D0.dll、198FF3D8.dll、122B901E.dll、4506AD31.dll、3D144530.dll、2EF0D734.dll、DFEC5CB7.dll、01AFE3DC.dll、Sys_NtMe.Zys、
7、创建进程快照,遍历当前进程中是否存在以下进程,调用IsDebuggerPresent来判断当前是否是被调试状态,满足上述条件就结束病毒进程。"OllyDbg.exe"、"OllyICE.exe"、"PEditor.exe"、"LordPE.exe"、"C32Asm.exe"、"ImportREC.exe"
8、下载病毒列表:hxxp://txt.50nb.com/**date/count.txt,并下载运行列表中的盗号木马。
网友评论