病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
19460
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
Win32平台下的蠕虫病毒下载器,感染病毒后,病毒释放特定文件到windows系统目录下,写入注册表自启动项,使病毒开机后自动运行。病毒运行后hook几个系统API,并进行进程内存感染,上特定网站下病毒程序进行盗取用户邮件/隐私信息,并发送到病毒指定网站。该病毒造成用户隐私泄露/危害用户机器。
病毒主要通过邮件、捆绑程序方式进行传播。
病毒是一个蠕虫病毒下载器,病毒会从病毒作者指定的网站上下载蠕虫主程序,用于控制用户机器/盗取用户机密信息。病毒运行后弹出一个标题为"selectafiletocrack"的打开文件对话框迷惑用户,选择任意文件后,出现错误提示信息:"Incorrectfileversion."。
病毒生成以下几个文件:
%SYSTEM%\ldr64.dll
%tmp%\_ex随机文件.exe
下载蠕虫主程序保存为:
%System%\edlm2.exe
写入注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\ldr64
"LdCount"=dword:00000000
"prevt"=dword:00000000
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"="ldr64.dll"
"Startup"="Startup"
从以下网站上下载蠕虫主程序:
www.bbrealservis.sk/444.jpg.
www.befag.ru/444.jpg
www.benininfo.com/444.jpg.
www.bennylife.com/444.jpg
www.bestcheapdomainregistration.info/444.jpg
www.bidsforbaby.com/444.jpg
www.binhaigolf.com/444.jpg
www.biotenk.com/444.jpg
www.bitsolution.ro/444.jpg
www.nmtltd.com/444.jpg
www.vnettools.com/444.jpg
www.boldrussell.com/444.jpg
www.bronko-m.ru/444.jpg
www.bulkemailservicenow.com/444.jpg
www.bulkemaildirectmarketing.com/444.jpg
www.calidad.biz/444.jpg
www.cansew.ca/444.jpg
www.cansultdubai.ae/444.jpg
www.casaquecanta.com/444.jpg
www.chilotitomarino.cl/444.jpg
www.chinaculturedpearl.com/444.jpg
www.casino-malibu.ru/444.jpg
www.colin18.com/444.jpg
www.khonkaenpoc.com/444.jpg
www.connectesl.com/444.jpg
ala-bg.net/444.jpg
allinfo.com.au/444.jpg
eleceltek.com/444.jpg
alevibirligi.ch/444.jpg
alfaclassic.sk/444.jpg
allanconi.it/444.jpg
www.americarising.com/444.jpg
americasenergyco.com/444.jpg
amerykaameryka.com/444.jpg
amistra.com/444.jpg
amistra.com/444.jpg
analisisyconsultoria.com/444.jpg
calamarco.com/444.jpg