病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
23552
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Win32平台下感染可执行程序的PE病毒,病毒运行后复制病毒体至系统目录,检测用户机器上的可执行程序并进行感染;病毒通过检测微软的官方站点来判定用户机器网络连接状态,当网络可用时,病毒向病毒作者指定网站上下载后门、木马等,给用户安全造成威胁。
该病毒主要通过下载/安装被感染的程序进行传播。
1、病毒运行后释放一个迷惑用户的病毒体文件到系统目录下:
%system%\wmimgr32.dll
该DLL大小为23552字节。
2、加载该dll,dll加载过程中读取/写入%WinRoot%\system.ini内容,如:
[mcidrv32]
VideoVer=1234683
_hr=13
_dr=1
WININET=1
3、读取注册表项中的自启动程序,进行感染。
枚举注册表中的自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4、扫描系统中的可执行程序并进行感染,感染时会加密原程序的入口代码。
5、通过连接微软的官方网站www.microsoft.com来判定网络状态,当网络已经连接时,病毒
通过连接以下网站下载病毒作者存放的后门、木马等:
www.xxxkuku.com
www.xxxnet11581q.com