網(wǎng)站制作

Trojan/Win32.Murlo.aab[Downloader]行為分析-本地行為

更新時間：2025-01-11 08:53:50

文件運行后會釋放以下文件：

%System32%\ctfmon.exe

%Windir%\Tasks\1

%Temp%\1696

%非系統(tǒng)驅(qū)動器下的含exe文件的目錄%\usp10.dll

新增注冊表項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

新: DWORD: 2 (0x2)

舊: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

新: DWORD: 0 (0)

舊: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe\Debugger

鍵值: 字符串: "svchost.exe"

遍歷進程，對特定進程進行處理：

結(jié)束下列進程名：

kavstart.exe

kissvc.exe

kmailmon.exe

kpfw32.exe

kpfwsvc.exe

kwatch.exe

ccenter.exe

ras.exe

rstray.exe

rsagent.exe

ravtask.exe

ravstub.exe

ravmon.exe

ravmond.exe

avp.exe

360safebox.exe

360Safe.exe

Thunder5.exe

rfwmain.exe

rfwstub.exe

rfwsrv.exe

對下面的進程進行實時監(jiān)控，一經(jīng)發(fā)現(xiàn)馬上關(guān)閉：

cmd.exe

thunder5.exe

檢測當前窗口的類名稱是否為"AfxControlBar42s"，向該窗口發(fā)送WM_CLOSE消息，并模擬鍵盤的回車鍵。

創(chuàng)建提權(quán)服務(wù)，提升為SeDebugPrivilege權(quán)限，服務(wù)在注冊表中的路徑為：

HKLM\SYSTEM\CurrentControlSet\Services\io

調(diào)用控制碼替換系統(tǒng)文件，建立“\\.\safebreas” 通過DeviceIoControl調(diào)用0x22001c，替換系統(tǒng)文件ctfmon.exe。

擴展資料

木馬病毒Trojan/Win32.Murlo.aabDownloader

標簽： trojan47win32murloaabdownloader行為分析本地行為

上一篇：鼠標滾軸按鍵功能有哪些

下一篇：誰知道怎么編制木馬程序

国产精品高清免费在线视频-亚洲精品午夜福利一区-91成人精品国产免费男男-噼里啪啦日本一区二区

首頁

網(wǎng)站制作

關(guān)于

服務(wù)

聯(lián)系我們

與我們合作

您也可通過下列途徑與我們?nèi)〉寐?lián)系：

Trojan/Win32.Murlo.aab[Downloader]行為分析-本地行為