技术解析 Win32.Troj.360Tay下载器程序

【IT粉丝网-IT技术报道】Win32.Troj.360Tay是一个下载器程序。它伪装成360安全卫士的进程，将自己注册为系统服务，悄悄连接远程地址，下载大量的木马文件，并根据黑客指令盗取文件。

病毒名称(中文)：伪装卫士43008

威胁级别：★★☆☆☆

病毒类型：木马下载器

病毒长度：43008

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个下载器程序。它伪装成360安全卫士的进程，将自己注册为系统服务，悄悄连接远程地址，下载大量的木马文件，并根据黑客指令盗取文件。

复制自身到%sys32dir%/360tay.exe，添加服务的注册表项

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_360TAYHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/360TayHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Vxd/360Tay

病毒运行之后，首先会释放资源区文件，用来恢复SSDT表，过还原软件。

获取%sys32dir%目录，将自身改名为360Tay，删除掉“%sys32dir%”中的360Tay文件后，复制自身到文件夹中，遍历系统进程，查找“360tray.exe”，结束360tray.exe。然后病毒会将自身注册为系统服务，名为“360Tay”，DisplayName为“360安全防护软件”，伪装成360，开启服务；创建自删除文件。

服务成功加载后，病毒可以：创建大量线程向指定目标发送大量的垃圾数据，严重消耗网络带宽上传下载指定文件。

(责任编辑：李磊)

上一篇： 解析“IE广告木马53248”所释放病毒文件
下一篇：QQ盗号木马病毒文件像人名 下载not.exe