Trojan.PSW.Misc.di病毒日志分析

PCPXP.COM 来源：新浪-ufo不幸外人时间：2007-04-05

推荐：卡卡6.0安全助手送免费一年的瑞星2008杀毒软件

病毒名称：Trojan.PSW.Misc.di
病毒类型：
病毒标准大小：47,081B
病毒启动方式：注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项启动

Trojan.PSW.Misc.di病毒在电脑添加文件：
C:\Windows\EXERT.exe
C:\Windows\LSASS.exe
C:\Windows\system32\regedit.com
C:\Windows\system32\MSconfig.com
C:\Windows\system32\dxdiag.com
C:\Windows\Debug\DebugProgram.exe
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
D:\Atuorun.inf
D:\command.com
文件PEID信息：
系统进程：LSASS.exe
进程用户：当前用户
测试时进程ID：1780

Trojan.PSW.Misc.di病毒在注册表添加：
添加主键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
添加EXE文件关联：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command\: 43 3A 5C 57 49 4E 44 4F 57 53 5C 45 58 45 52 54 2E 65 78 65 20 22 25 31 22 20 25 2A 00 00 00 00 2E 00
添加系统注册表启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"
其他添加：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon\: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\LocalizedString: 49 4E 54 45 58 50 4C 4F 52 45 00 D1 DB
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command\: "C:\Program Files\common~1\INTEXPLORE.pif"
注册表修改： www.pcpxp.com 供稿
修改EXE文件关联指向：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "WindowFiles"
修改桌面IE连接：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
其他修改：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"

上一篇：Trojan.PSW.ZhengTu.agf病毒日志分析
下一篇：冰刃（IceSword）的使用方法（高级篇）

相关分析 日志 病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章

推荐内容: ·免费在线收看一千多路电视节目; ·免费网络电话SkyPe 全球知名

最新电脑文章: ·机器狗木马专杀工具; ·防范U盘病毒Autorun的方法; ·实例：查杀自我保护性强的病毒; ·防备四类黑客程序入侵电脑; ·5个窍门更安全网络冲浪; ·什么是木马？木马的定义; ·什么是蠕虫？蠕虫的定义; ·什么是病毒？

热点电脑文章: ·封杀清剿流氓软件的方法; ·什么是病毒？; ·调用cmd.exe狂占系统资源的病毒的查杀解决; ·卡巴斯基的使用方法; ·系统时间被改的解决方法; ·清除“顽固不化”病毒进程的方法; ·Trojan.PSW.Agent.asd 病毒日志分析; ·对四大杀毒软件的评价

Trojan.PSW.Misc.di病毒日志分析

相关 分析 日志 病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章

相关分析日志病毒 SOFTWARE HKEY_LOCAL_MACHINE C: Classes 的文章