病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
14484
影响系统:
Win9xWinNT
病毒行为:
这是一个木马下载器,从指定网站下载一个文件运行。它释放一个DLL文件到系统临时目录,在后台打开IE浏览器,然后将该释放的DLL文件加载到IE进程中。病毒以IE浏览器的身份访问网络并从指定网站下载一个文件运行,以躲过病毒防火墙的盘查。
1.释放文件%Temp%\mmdllmm.dll(UPX压缩,长度为6248字节,解压后为10344字节,病毒名为Win32.Troj.Airsupply)。
2.修改注册表。
添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Internat"="<病毒原始位置>"
3.在病毒文件尾部附带了网页文件的地址,它将该地址写入到释放的dll文件中,用来下载并运行。病毒创建进程iexplorer.exe,在WinNT系统下通过创建远程线程的方式,将释放的mmdllmm.dll注入到进程iexplorer.exe;在Win9x则加载释放的mmdllmm.dll,并调用其导出的函数_SetHook,然后通过创建消息钩子的方式加载到进程iexplorer.exe中。
4.mmdllmm.dll访问以iexplorer.exe的身份到指定网址上下载文件并运行,使用户感染新病毒。