病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
15390
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个后门病毒下载器,病毒将下载信息加密保存在病毒文件尾部,病毒运行后
将这些信息解密,并再以加密的方式保存在相应的配置文件中。
1.该病毒可通过命令行选项控制病毒行为:
"/i":将病毒以服务的形式安装
"/u":卸载服务
假如没有任何命令行选项,病毒将在"C:\ProgramFiles"目录下建立
FireFly目录,并将自身拷贝到该目录下,命名为WinDeBug.exe。然后
以命令行参数"/i"调用WinDeBug进程,安装系统服务,最后生成Delme.bat
文件将自身删除。
2.病毒从文件尾部读取加密的后门下载信息,将其解密后,保存在
"C:\ProgramFiles\FireFly\WinDeBug.ini"文件中,这些信息包括:
[Root]
Addr=***/***/***/***;IP地址
Port=****;端口号
PassWord=*****;密码
ImageSign=*;
Url=********************;后门下载地址
3.病毒以服务的形式运行后,会通过读取保存在配置文件中的信息,链接
指定的网络地址,下载后门。