首页 > 知识库 > 正文

Win32.Troj.FakePhoto是什么病 Win32.Troj.FakePhoto怎么治疗 Win32.Troj.FakePhoto吃什么药好

tVersion\\ tVersion\\ tVersion\\

病毒名称

  
Win32.Troj.FakePhoto
病毒别名:
处理时间:
威胁级别:★★
中文名称:图片黑手
病毒类型:木马
影响系统:Win9x / WinNT

病毒行为


该病毒显示为一个图片文件的图标,迷惑用户去打开,然后病毒显示出一副图片,病毒就悄悄地在后台运行了。该病毒首先会搜索内存中的反病毒软件,如金山网镖、天网防火墙、木马克星、瑞星等,一旦找到就将其关闭,并且删除该进程的所在目录下的所有子目录以及文件;病毒将自己复制到系统多个目录下面,并修改可执行程序关联到病毒,使得用户一运行正常程序都可能激活病毒;病毒将自己加载到注册表得启动项,并且修改注册表使得文件管理器不显示隐藏文件以及文件扩展名,使用户更难发觉病毒得存在;病毒修改注册表禁止用户打开任务管理器以及禁止编辑注册表。病毒到指定的网址下载文件并运行;将自己复制到搜索到的局域网可写目录,以感染更多用户;病毒还添加带密码的管理员帐号,为黑客大开方便之门;开启后门,等待外界攻击者连接,并执行其发来的控制指令,如注销,重启,关机,注销,上传下载文件,操作注册表,获取用户信息,窃取用户按键信息等。

1.枚举进程,尝试关闭以下反病毒软件的进程,然后删除该进程的所在目录下的所有子目录以及文件。
pfw.exe
kvfw.exe
KAVPFW.EXE
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
rav
taskmgr.exe

2.搜索注册表,删除以下反病毒软件的启动项,删除对应文件。
HLM\SoftWare\Microsoft\windows\CurrentVersion\Run
"SKYNET Personal FireWall"
"iDuba Personal FireWall"
"iamapp"
"rfw"
"popproxy"
"RavMon"
"RavTimer"

HLM\SoftWare\Microsoft\windows\CurrentVersion\RunServices
"RavMon"

HCU\SoftWare\Microsoft\windows\CurrentVersion\Run
"KVFW"

3.创建目录 %SystemRoot%\temp,将自身复制为:%SystemRoot%\temp\ssshost.exe并运行,ssshost.exe再将自身复制为%systemRoot%

\svchost.exe并运行。可能释放文件:%systemRoot%\svchost.dll,远程注入到系统进程Explorer.exe中。

4.创建互斥量byc001,防止病毒的多个实例运行。

5.修改注册表。
添加注册表主键和键值:
HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run\
"Microsoft"="%SystemRoot%\SVCHOST.EXE"

HKLM\SOFTWARE\Classes\exefile\shell\open\command
"%SystemRoot%\SVCHOST.EXE "%1" %*"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\
"CheckedValue"=dword:0x2
"DefaultValue"=dword:0x2

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"HideFileExt"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"Hidden"=dword:0x2

HKEY_LOCAL_MACHINE\SOFTWARE\mysoft
"Version"=dword:3e9


6.到指定的网址下载文件到本地计算机%systemroot%\iexplorer.exe并运行。

7.将自身复制到局域网中可写目录,以感染更多计算机。

8.可能添加带密码的管理员帐号。

9.开启后门,等待外界攻击者连接,并执行其发来的控制指令,如注销,重启,关机,注销,上传下载文件,操作注册表,获取用户信息,窃取用户按键信息。

声明:本网内容收集自互联网,旨在传播知识仅供参考,不代表本网赞同其观点,文字及图片版权归原网站所有。

笨笨英微雨江南yybseleven笨笨英
猜你喜欢
热门推荐
今日推荐 更多
猜你喜欢