病毒行为:
这是一个远程木马。它会伪装成360安全卫士的进程,连接病毒作者指定的服务器,等待黑客入侵。
1.生成文件
%sys32dir%\Fuck.exe
2.生成伪360服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360tray
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayTypedword:00000010
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayErrorControldword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayImagePathhex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,46,75,63,6b,2e,65,78,65,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayDisplayName"360tray"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayObjectName"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360trayDescription"360安全卫士实时保护模块"
3.病毒运行后会创建一个Fuck.EXE进程.
4.病毒运行后会实现自删除.
5.病毒运行后可远程控制用户机器.
