病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
86016
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个感染型病毒,会感染用户的WinRAR、迅雷下载器及QQ的几个主EXE文件,同时该病毒会从网上下载木马到用户机器并运行。
1、将自身复制为:%WinDir%\system\IEXPLORER.EXE并运行。
2、查询注册表项:SOFTWARE\ThunderNetwork\ThunderOem\thunder_backwnd\Path来获得迅雷的可执行文件路径,然后感染找到的文件,并在同一目录下生成病毒的复制体:被感染文件名.tmp
3、查询注册表项:SOFTWARE\tencent\QQ\Install来获得QQ的安装路径,然后感染该目录下的以下EXE文件,并在同一目录下生成病毒复制体:被感染文件名.tmp,但由于程序本身的错误,这几个文件都不会感染成功。
QQLiveUpdate.exe
Qzone\Qzone.exe
MagicFlash.exe
TIMPlatform.exe
4、查询注册表项:SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths\WinRAR.exe\Path来获得WinRAR的安装路径,然后感染该目录下的文件:WinRAR.exe,并在同一目录下生成病毒复制体:WinRAR.exe.tmp
5、当用户运行被感染的文件时,会首先运行同一目录下的病毒文件:被感染文件名.tmp,然后再运行正常的文件。
6、病毒会从网址:http://www.dj***.com/ie.txt下载一个配置文件到本地,然后根据配置文件的内容来下载木马到用户机器并运行。该配置文件格式如下:
[main]
服务文件更新=1
服务文件地址=http://kk***.net/ggg/adc/123.exe
下载者是否更新=9
下载个数=7
文件1=http://222.***.**.185/data6/jwm.exe
更新1=9
文件2=http://222.***.**.185/data6/wol.exe
更新2=1
文件3=http://222.***.**.185/data6/wow.exe
更新3=1
文件4=http://222.***.**.185/data6/ztt.exe
更新4=1
文件5=http://www.dj***.com/updata1.exe
更新5=6
文件6=http://222.***.**.185/data6/mhh.exe
更新6=1
文件7=http://222.***.**.181/ienet.exe
更新7=1
7、自删除