病毒名称(中文):
恶鹰ev
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
10530
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒通过邮件进行传播,用户运行邮件附件后,会尝试下载一个后门。该蠕虫还会在受感染的机器的文件中搜索电子邮件,并向搜索到的地址发送邮件。该变种还会结束Netsky的一个变种进程.
1.生成文件:
%system%\german.exe
2.添加注册表起始项,使病毒开机运行:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
german.exe
3.建立互斥变量:
zorro10
4.尝试结束结束NVARCH16.EXE(该进程为Netsky的变种).
5.尝试从以下的网址上下载后门:
http://avistrade.ru/prog/img/proizvod/xxx3.php
http://mir-vesov.ru/p/lang/CVS/xxx3.php
http://monomah-city.ru/vakans/xxx3.php
http://pvcps.ru/images/xxx3.php
http://roszvetmet.com/images/xxx3.php
http://schiffsparty.de/bilder/uploads/xxx3.php
http://service6.valuehost.ru/images/xxx3.php
http://stroyindustry.ru/service/construction/xxx3.php
http://vladzernoproduct.ru/control/sell/t/xxx3.php
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/xxx3.php
http://www.deadlygames.de/DG/BF/BF-Links/clans/xxx3.php
http://www.emil-zittau.de/karten/xxx3.php
http://www.etype.hostingcity.net/mysql_admin_new/images/xxx3.php
http://www.levada.ru/htmlarea/images/xxx3.php
http://www.mirage.ru/sport/omega/pic/omega/xxx3.php
http://www.ordendeslichts.de/intern/xxx3.php
http://8marta.ru/img/path/xxx3.php
http://coral-adventures.com/images/xxx3.php
http://dearruthie.com/images/xxx3.php
http://dmax.ru/images/xxx3.php
http://efpa-eg.net/images/xxx3.php
http://ferrumcomp.ru/images/xxx3.php
http://financialbusiness.ca/images/xxx3.php
http://golden-ring.net/images/xxx3.php
http://goodbathscents.com/images/xxx3.php
http://jamminjo.com/images/xxx3.php
http://kmold.biz/images/xxx3.php
http://kokon.com/images/xxx3.php
http://komt.ru/images/xxx3.php
http://magian.ru/images/xxx3.php
http://merkur-akademie.de/images/xxx3.php
http://nakorable.ru/htdocs/img/xxx3.php
http://optimsasia.com/images/xxx3.php
http://raz-naraz.wz.cz/html/fanklub/xxx3.php
http://redshop.ru/images/xxx3.php
http://sdom.ru/images/xxx3.php
http://spbso.ru/images/xxx3.php
http://tarkan.ru/images/xxx3.php
http://transaerotours.ru/img/xxx3.php
http://www.ipromocionales.com/images/xxx3.php
http://www.katjas-reisen.de/blog/images/colors/xxx3.php
http://www.moscowapartments.ru/images/_vti_cnf/xxx3.php
http://www.pechki.ru/images/xxx3.php
http://www.rhone.ch/images/xxx3.php
http://www.zdom.ru/images/xxx3.php
http://avistrade.ru/prog/img/proizvod/blst.php
http://mir-vesov.ru/p/lang/CVS/blst.php
http://monomah-city.ru/vakans/blst.php
http://pvcps.ru/images/blst.php
http://service6.valuehost.ru/images/blst.php
http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/blst.php
http://trehrechie.ru/images/blst.php
http://turnstylesticketing.com/images/blst.php
http://twilightzone.cz/distro/blst.php
http://vniipo.ru/images/_notes/blst.php
http://voelckergmbh.de/images/blst.php
http://vserozetki.ru/images/blst.php
http://vtr-spb.ru/fp/mikrobus/gazel/blst.php
http://www.belteh.ru/images/ludi/blst.php
http://www.bmblawfirm.com/images/blst.php
http://www.enertelligence.com/playitsafe/images/blst.php
http://www.enkor.ru/images/blst.php
http://www.g-antssoft.com/images/icon/jpg/blog/blst.php
http://asvt.ru/images/xxx3.php
http://calimasurf.com/images/base/orig/xxx3.php
http://celebrationsinspain.com/images/xxx3.php