病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
228088
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马病毒,病毒运行后会到网络上下载一个配置文件,根据该文件实现定时弹出网页,下载插件并运行等操作。
1、病毒运行后会释放iexp1ore.exe到%system%目录,注重中间的字符为数字“1”,不是字母“l”,病毒以此来伪装自己。
2、修改注册表,添加名为ServiceRemote的系统服务并设置为开机自动启动,其文件路径指向病毒文件。
3、添加如下注册表项,并将其驱动程序指向病毒生成的服务。
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE]
"NextInstance"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000\Control]
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000\Control]
"*NewlyCreated*"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Service"="ServiceRemote"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Legacy"=0x1
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"ConfigFlags"=0x0
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"Class"="LegacyDriver"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
[HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SERVICEREMOTE\0000]
"DeviceDesc"="RemoteAccessConnectionManage"
4、从网络上下载配置文件到本机
