kaspersky
2005-06-03, 06:12 PM
Trojan.Win32.TopAntiSpyware.l
這個木馬是一個 Windows PE EXE 的檔案 大小約為 36KB
當木馬植入電腦時,這個木馬會將本身複製到 Windows 的系統資料夾中的 winnook.exe
%System%\winnook.exe
接下來便建立系統註冊機版以使得這個木馬在每次系統啟動時能夠自動執行:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool" = "%System%\winnook.exe"
一但啟動,這個木馬會在系統啟動列上建立一個圖示,並且在一個隨機的週期後,顯示一個下面圖中的訊息:
http://www.viruslist.com/en/imagesen/pictures/virus-20300393.png
並且它也會建立一個檔名為 “desktop.html” 的檔案在 Windows 的根目錄下,且這個檔案將會定期的開啟一個網頁顯示如下圖中的內容:
http://www.viruslist.com/en/imagesen/pictures/virus-20300399.gif
若使用者點擊這個木馬圖示中的連結,則會開啟 htttp://www.antivirus-gold.com/*** 的網頁.
這個木馬是一個 Windows PE EXE 的檔案 大小約為 36KB
當木馬植入電腦時,這個木馬會將本身複製到 Windows 的系統資料夾中的 winnook.exe
%System%\winnook.exe
接下來便建立系統註冊機版以使得這個木馬在每次系統啟動時能夠自動執行:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool" = "%System%\winnook.exe"
一但啟動,這個木馬會在系統啟動列上建立一個圖示,並且在一個隨機的週期後,顯示一個下面圖中的訊息:
http://www.viruslist.com/en/imagesen/pictures/virus-20300393.png
並且它也會建立一個檔名為 “desktop.html” 的檔案在 Windows 的根目錄下,且這個檔案將會定期的開啟一個網頁顯示如下圖中的內容:
http://www.viruslist.com/en/imagesen/pictures/virus-20300399.gif
若使用者點擊這個木馬圖示中的連結,則會開啟 htttp://www.antivirus-gold.com/*** 的網頁.