簡介
病毒運行後複製自身至%Windir%Kvmon.exe,並釋放檔案%windir%Kvmon.dll,將Kvmon.dll注入進程,然後通過建立批處理檔案刪除自身。
行為分析
這是一個類似灰鴿子的木馬程式。它能模擬用戶指令,讓一些安全軟體允許它運行。然後打開敏感連線埠,建立後門,讓黑客可遠程控制用戶機器。描述
1、病毒運行後複製自身至%windir%Kvmon.exe,並釋放檔案%windir%Kvmon.dll,將Kvmon.dll注入進程,然後通過建立批處理檔案刪除自身2、遍歷查找360安全衛士中“q360safemonclass”視窗類AVP.AlertDialog、AVP.Product_Notification視窗,模擬點擊實現允許病毒運行操作;
3、病毒運行後創建iexplorer.exe進程並把自身的代碼注入,達到隱藏的效果.
4、修改註冊表:
SoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Userinit:%windir%system32userinit.exe,C:WINDOWSKvmon.exe-ini
SOFTWAREMicrosoftWindowsCurrentVersionSetup
Info:%FilePath%(病毒源檔案路徑)
SOFTWAREMicrosoftWindowsCurrentVersionSetup
tag:1988
5、開啟SOCKS5代理服務和http代理服務
6、連線成功後,木馬種植者可以從控制端遠程查看用戶螢幕內容、實時監視/控制用戶攝像頭、查看/下載用戶機器上的任意檔案、查看/終止用戶任意進程,控制用戶光碟機等。
