病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
其它
病毒長度:
86016
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是個感染型病毒,會感染用戶的WinRAR、迅雷下載器及QQ的幾個主EXE文件,同時該病毒會從網上下載木馬到用戶機器並運行。
1、將自身複制爲:%WinDir%\system\IEXPLORER.EXE並運行。
2、查詢注冊表項:SOFTWARE\ThunderNetwork\ThunderOem\thunder_backwnd\Path來獲得迅雷的可執行文件路徑,然後感染找到的文件,並在同一目錄下生成病毒的複制體:被感染文件名.tmp
3、查詢注冊表項:SOFTWARE\tencent\QQ\Install來獲得QQ的安裝路徑,然後感染該目錄下的以下EXE文件,並在同一目錄下生成病毒複制體:被感染文件名.tmp,但由于程序本身的錯誤,這幾個文件都不會感染成功。
QQLiveUpdate.exe
Qzone\Qzone.exe
MagicFlash.exe
TIMPlatform.exe
4、查詢注冊表項:SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths\WinRAR.exe\Path來獲得WinRAR的安裝路徑,然後感染該目錄下的文件:WinRAR.exe,並在同一目錄下生成病毒複制體:WinRAR.exe.tmp
5、當用戶運行被感染的文件時,會首先運行同一目錄下的病毒文件:被感染文件名.tmp,然後再運行正常的文件。
6、病毒會從網址:http://www.dj***.com/ie.txt下載一個配置文件到本地,然後根據配置文件的內容來下載木馬到用戶機器並運行。該配置文件格式如下:
[main]
服務文件更新=1
服務文件地址=http://kk***.net/ggg/adc/123.exe
下載者是否更新=9
下載個數=7
文件1=http://222.***.**.185/data6/jwm.exe
更新1=9
文件2=http://222.***.**.185/data6/wol.exe
更新2=1
文件3=http://222.***.**.185/data6/wow.exe
更新3=1
文件4=http://222.***.**.185/data6/ztt.exe
更新4=1
文件5=http://www.dj***.com/updata1.exe
更新5=6
文件6=http://222.***.**.185/data6/mhh.exe
更新6=1
文件7=http://222.***.**.181/ienet.exe
更新7=1
7、自刪除