Trojan.PSW.Misc.kgh病毒日志分析

PCPXP.COM 来源：新浪-ufo不幸外人时间：2007-04-05

推荐：卡卡6.0安全助手送免费一年的瑞星2008杀毒软件

病毒名称：Trojan.PSW.Misc.kgh
病毒类型：
病毒标准大小：49,029B
病毒启动方式：注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项启动

Trojan.PSW.Misc.kgh病毒在电脑添加文件：
C:\Windows\EXERT.exe
C:\Windows\LSASS.exe
C:\Windows\system32\regedit.com
C:\Windows\system32\MSconfig.com
C:\Windows\system32\dxdiag.com
C:\Windows\Debug\DebugProgram.exe
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
D:\Atuorun.inf
D:\command.com
系统进程：LSASS.exe
进程用户：当前用户
测试时进程ID：1756

Trojan.PSW.Misc.kgh病毒在注册表添加：

添加主键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
添加EXE文件关联：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command\: 43 3A 5C 57 49 4E 44 4F 57 53 5C 45 58 45 52 54 2E 65 78 65 20 76 62 6E 75 6C 6C 73 74 72 69 6E 67
添加系统注册表启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"
其他添加：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon\: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command\: "C:\Program Files\common~1\INTEXPLORE.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\LocalizedString: 49 4E 54 45 58 50 4C 4F 52 45 00 00
注册表修改：
修改EXE文件关联指向
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "WindowFiles"
修改桌面IE连接
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
其他修改
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"

上一篇：Trojan.PSW.Agent.asd 病毒日志分析
下一篇：Trojan.Agent.bfm病毒日志分析

相关分析 日志 病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章

推荐内容: ·免费在线收看一千多路电视节目; ·免费网络电话SkyPe 全球知名

最新电脑文章: ·机器狗木马专杀工具; ·防范U盘病毒Autorun的方法; ·实例：查杀自我保护性强的病毒; ·防备四类黑客程序入侵电脑; ·5个窍门更安全网络冲浪; ·什么是木马？木马的定义; ·什么是蠕虫？蠕虫的定义; ·什么是病毒？

热点电脑文章: ·查出个病毒，状态却是‘请解压后...’; ·电脑中termsv.exe病毒的查杀方法; ·3448病毒分析和解释; ·Trojan.PSW.ZhengTu.agf病毒日志分析; ·主页被篡改无法清除的新式解决方法; ·常见恶意网页的中招现象及防范解决方法; ·恶意代码的电脑症状及修复方法; ·清除“顽固不化”病毒进程的方法

Trojan.PSW.Misc.kgh病毒日志分析

相关 分析 日志 病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章

相关分析日志病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章