病毒名称(中文):
觅丽得
病毒别名:
TrojanProxy.Win32.Mitglieder.gen[AVP],W32/Bagle.d
威胁级别:
★★★☆☆
病毒类型:
木马程序
病毒长度:
23552
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
1.建立一个名为imain_mutex的互斥体,保证只有一个进程在运行
2.复制自身到%System%irun4.exe
3.建立文件%System%system.exe和%System%iinj4.exe,这2个文件其实是DLL文件,只不过后缀名是EXE而已
4.将%System%system.exe和%System%iinj4.exe这2个文件添加到窗口标题带ShellTray_Wnd字符串的进程的地址空间中
5.在注册表主键HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
添加启动项"ssgrate.exe"="%System%irun4.exe"
以实现病毒开机自启动
6.建立子键及键值:
HKEY_CURRENT_USERSOFTWAREDateTime
"pid"=
"uid"=
"port"=
发作现象:
非凡说明:
1.该病毒尝试使用25.97.137来实现DNS查询
2.建立在高端口的监听代理,通常是17771端口,用来将窃取到的信息通过邮件的形式发送给攻击者