TrojanProxy.Mitglieder.e.dll

TrojanProxy.Mitglieder.e.dll

病毒长度：10,240 bytes

病毒类型：木马

危害等级：*

TrojanProxy.Mitglieder.e.dll是一个后门木马，用UPX压缩，通过MYDOOM安装的后门进行传播。

传播过程及特征：

1.复制自身为：%system%system.exe

2.修改注册表：

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun 下添加键值："ssgrate.exe" = "%system%system.exe"

3.结束下列进程：

ATUPDATER.EXE

AVWUPD32.EXE

AVPUPD.EXE

LUALL.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

UPDATE.EXE

NUPGRADE.EXE

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

MCUPDATE.EXE

NUPGRADE.EXE

4.在感染的计算机上打开TCP端口39999，在此接收黑客发出的指令，并连接到一些特定的网站。

http://www.block-investment.de/[blocked]/nro4.php

http://www.gasterixx.de/[blocked]/nro4.php

http://www.deadlygames.de/[blocked]/nro4.php

http://www.o-problemo.de/[blocked]/nro4.php

http://www.tv87.de/[blocked]/nro4.php

http://www.ranknet.de/[blocked]/nro4.php

http://www.remix-world.de/[blocked]/nro4.php

http://www.joerrens.de/[blocked]/nro4.php

http://www.bbszene.de/[blocked]/nro4.php

http://www.nikofor.com/[blocked].php

http://www.dyna-maik.de/[blocked]/nro4.php

http://www.werk3.de/[blocked]/nro4.php

http://www.gebr-wachs.de/[blocked]/nro4.php

http://www.rgs-rostock.de/[blocked]/nro4.php

http://www.lords-of-havoc.de/[blocked]/nro4.php

5.试图从特定网站下载木马：%Windir%SAGEBOX.EXE --- 一个用来盗取密码的木马