病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
9188
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下的木马下载器,病毒运行后删除一些反病毒进程和服务,然后通过可用的网络资源下载相关木马或其它病毒。
病毒主要通过软件捆绑或欺骗方式进行传播。
1、病毒运行时检测系统语言,假如是unicode体系则直接退出程序。
2、病毒启动时枚举进程,检测并终止以下相关进程:
PcCtlCom.exe
tmPfw.exe
tmproxy.exe
Tmntsrv.exe
pccguide.exe
fsbwsys.exe
FAMEH32.EXE
PCH32.EXE
FSAV32.EXE
FSAW.EXE
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
FSMA32.exe
FSMB32.EXE
fsqh.exe
FSRW.EXE
fssm32.exe
SERVICE~1.exe
fspex.exe
FSM32.EXE
fsguidll.exe
xcommsrv.exe
vsserv.exe
mcupdmgr.exe
McTskshd.exe
McDetect.exe
Mcdetect.exe
McVSEscn.exe
mcagent.exe
mcvsshld.exe
McShield.exe
3、同时病毒会尝试删除以下服务:
ShareAccess
navapsvc
PcCtlCom
TmPfw
tmproxy
Imntsrv
fsbwsys
FSDFWD
FSMA
BackWebPlug-in-4476822
F-SecureGatekeeperHandlerStarter
bdss
VSSERV
XCOMM
McShield
4、网络状态可用时,病毒尝试访问以下网站下载相关病毒:
http://traff****.biz/progs_exe/ajtxt/gemht.php?adv=adv496保存为:c:\uniq.exe
http://traff****.biz/progs_exe/ajtxt/uvmldvgsd保存为:c:\nwlaa.exe
http://traff****.biz/progs_exe/ajtxt/vgfamcryi保存为:c:\pmljrnbv.exe
http://traff****.biz/progs_exe/ajtxt/eibxih.php保存为:c:\vbwymn.exe
http://traff****.biz/progs_exe/ajtxt/pkfqp保存为:apppath\fmjfmm.exe
http://traff****.biz/progs_exe/ajtxt/rzhpazyxv.php保存为:c:\ProgramFiles\secure32.html
http://traff****.biz/progs_exe/ajtxt/gbjrdcwfn保存为:c:\ProgramFiles\edjm.exe
http://traff****.biz/progs_exe/ajtxt/txfrcb保存为:c:\stniyga.exe
http://traff****.biz/progs_exe/ajtxt/bjnzx保存为:c:\iqvetkmt.exe
http://traff****.biz/progs_exe/ajtxt/nmhcomlx保存为:c:\ytuukqx.exe
http://traff****.biz/progs_exe/ajtxt/ygsamyti保存为:c:\fdlsmwpa.exe
http://traff****.biz/progs_exe/ajtxt/kfnykjiuse保存为:c:\weeg.exe
http://traff****.biz/progs_exe/ajtxt/towudo.php?adv=adv496&code1=JSM0&co...保存为:c:\uniq.exe