Command.exe

进程文件 Command.exe

进程名称 AOL Trojan Pcfwall或Worm_Lovgate.AD“爱之门”病毒变种

英文描述 N/A

进程分析 木马蠕虫病毒。“爱之门”病毒变种。病毒会将大量可执行文件替换成病毒副本文件，并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。在%system%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。
病毒在注册表中添加以下项目，使得自身能够作为服务运行：在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra=C:WindowsSysTra.EXECOM++System=svchost.exe
病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run=RAVMOND.exeWinHelp=C:WindowsSystem32TkBellExe.exeHardwareProfile=C:WindowsSystem32hxdef.exeVFWEncoder/DecoderSettings=RUNDLL32.EXEMSSIGN30.DLLondll_regMicrosoftNetMeetingAssociates,Inc.=NetMeeting.exeProgramInWindows=C:WindowsSystem32IEXPLORE.EXEShellExtension=C:WindowsSystem32spollsv.exeProtectedStorage=RUNDLL32.EXEMSSIGN30.DLLondll_reg
病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝：HKEY_CLASSES_ROOT xtfileshellopencommanddefault=Update_OB.exe%1（原始数值为%SystemRoot%system32NOTEPAD.EXE%1）HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommanddefault=Update_OB.exe%1（原始数值为%SystemRoot%system32NOTEPAD.EXE%1）。
病毒修改文件AUTORUN.INF[AUTORUN]Open=c:COMMAND.EXE/StartExplorer
Trojan-Clicker.Win32.VB.kc木马病毒也用此文件名加入服务。浏览器劫持。

进程位置 系统或windir

程序用途 木马蠕虫病毒 用于窃密，搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。也是BUDDY病毒相关程序。

进程作者 N/A

进程属于 未知

安全等级 0 (N/A无危险 5最危险)

间碟软件 是

广告软件 是

是否病毒 是

是否木马 是

系统进程 否

应用程序 否

后台程序 是

使用访问 是

是否联网 否