中国最大的反病毒和网络安全技术门户网站
剑盟中国主页 | 扑奔PPT门户 | 安全资讯 | 会员博客 | 会员相册 | 会员商城 | 资源下载 | 反病毒救援
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

木马程序Win32.Troj.Sola.693269

重剑无锋

管理员

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

UID
积分
1872 
活跃度
3389  
楼主 发表于 2008-6-25 07:34  只看该作者

木马程序Win32.Troj.Sola.693269

病毒名称(中文):WORD涂改液693269


病毒别名:



威胁级别:★☆☆☆☆


病毒类型:恶作剧程序


病毒长度:693269



影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003



病毒行为:
这是一个恶作剧木马程序。它能够利用AUTO技术进行传播,运行起来就会搜索电脑中全部的Word文档,将它们的后缀改为exe。不过,被改了后缀的Word文件并不会遭到破坏,依然可以打开
1.生成文件:
C:\WINDOWS\Fonts\HIDESELF..\Function.dll
C:\WINDOWS\Fonts\HIDESELF..\Regedit.reg
C:\WINDOWS\Fonts\HIDESELF..\sola.bat
C:\WINDOWS\Fonts\HIDESELF..\sola.sign
C:\WINDOWS\Fonts\HIDESELF..\solasetup
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Autorun.inf
C:\WINDOWS\Fonts\HIDESELF..\solasetup\docpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\EJPack.txt
C:\WINDOWS\Fonts\HIDESELF..\solasetup\exepack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\infect.bat
C:\WINDOWS\Fonts\HIDESELF..\solasetup\jpgpack.dll
C:\WINDOWS\Fonts\HIDESELF..\solasetup\KillVirus.TXT
C:\WINDOWS\Fonts\HIDESELF..\solasetup\LocalScan.bat
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Rar.exe
C:\WINDOWS\Fonts\HIDESELF..\solasetup\readlnk.bat
C:\WINDOWS\Fonts\HIDESELF..\solasetup\RecentInf.bat
C:\WINDOWS\Fonts\HIDESELF..\solasetup\scan.bat
C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe
C:\WINDOWS\Fonts\HIDESELF..\solasetup\SOLA.BAT
C:\WINDOWS\Fonts\HIDESELF..\solasetup\SolaKiller.rar
C:\WINDOWS\Fonts\HIDESELF..\solasetup\Tasks.xxx
C:\WINDOWS\Fonts\HIDESELF..\solasetup\TDPack.txt
C:\WINDOWS\Fonts\HIDESELF..\solasetup\TENBATSU.BAT
C:\WINDOWS\Fonts\HIDESELF..\solasetup\txtpack.dll
C:\WINDOWS\Fonts\HIDESELF..\svchost.exe
C:\WINDOWS\system32\rar.exe
C:\WINDOWS\system32\sleep.exe
C:\WINDOWS\Tasks\Tasks.job
2.修改注册表,
HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\WINDOWS\system32\mshta.exe "Microsoft (R) HTML Application host"
HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache c:\Program Files\Epsilon Squared\InstallWatch Pro\SOLA_2.0_221882537825809.bat "SOLA_2.0_221882537825809"
HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\WINDOWS\system32\cmd.exe "Windows Command Processor"
HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\WINDOWS\system32\shimgvw.dll "Windows 图片和传真查看器"
3.该病毒运行后主要特征是将Word文档的后缀改为了exe,另外在每个盘下面也会有以下文件:
Autorun.inf和SOLA文件,SOLA文件夹下有一个Function.dll文件和一个SOLA.bat批处理文件(这些文件都是系统隐藏文件)。
该病毒的危害还不是很大,Word文件还能打开。

搜索更多相关主题的帖子: Sola 木马程序 恶作剧 Fonts HIDESELF

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题