‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创] Trojan.PSW.WSgame.bo/mh.exe

Greysign

一年级

Rank: 1

帖子
89 
精华
0 
威望
0 度 
金币
594 枚 
性别
男 
最后登录
2007-11-22 
1# 发表于 2007-2-1 13:38  只看该作者

Trojan.PSW.WSgame.bo/mh.exe

*********************************************************************
*************文章来自Greysign原创,转载请声明*************
*****************http://hi.baidu.com/greysign*****************
*********************************************************************

mh.exe>Trojan.PSW.WSgame.bo [瑞星]
生成随机8位数DLL,放在位于EXPLORER进程下面的第一个进程程序所在路径.本例是VMTOOL.


修改注册表:
注册表键: HKCR\CLSID\{1A404685-7563-4d02-B0F6-58B308A406A9}\InProcServer32
   注册表值: (默认)
   新的值:
      类型: REG_SZ
      值: c:\program files\vmware\vmware tools\boqglxui.dll[此为运行新生成的随机文件名DLL]
   先前值:
      类型: REG_SZ
      值: c:\program files\vmware\vmware tools\moaaigmd.dll[此为原先运行生成的随机文件名DLL]

建立启动项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\program files\vmware\vmware tools\boqglxui.dll>  [N/A]
注入EXPLORER.EXE和WINLOGON.EXE



*********************************************************************
*************文章来自Greysign原创,转载请声明*************
*****************http://hi.baidu.com/greysign*****************
*********************************************************************
本帖最近评分记录
  • 小3 金币 +10 图片问题~~ 就加一半 楼主速度解决 猴子梦 ... 2007-2-1 16:24
Antivirus[反病毒]
我的BLOG

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

Processed in 0.041931 second(s), 6 queries, Gzip enabled