病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
43830
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个下载器,会从网上下载一个灰鸽子受控端到用户的计算机并安装,从而使用户计算机被控制。
1、从网上下载一个灰鸽子服务端到临时文件夹:Temp\HEART.exe,并执行。
2、该临时文件将自身复制为:%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\Server4.exe,然后自删除。
3、该灰鸽子服务端会创建一个服务
服务名:Windows_rejoice
描述:提供病毒扫描服务
服务进程:%ProgramFiles%\CommonFiles\MicrosoftShared\MSINFO\Server4.exe
相应的注册表项如下:
HKLM\System\CurrentControlSet\Services\virusscan\TypeSUCCESS0x110
HKLM\System\CurrentControlSet\Services\virusscan\Start0x2
HKLM\System\CurrentControlSet\Services\virusscan\ErrorControl0x0
HKLM\System\CurrentControlSet\Services\virusscan\ImagePath"C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\Server4.exe"
HKLM\System\CurrentControlSet\Services\virusscan\DisplayName"Windows_rejoice"
HKLM\System\CurrentControlSet\Services\virusscan\Security\Security0100148090000000...
HKLM\System\CurrentControlSet\Services\virusscan\ObjectName"LocalSystem"
HKLM\System\CurrentControlSet\Services\virusscanKey:0xE1B02A98
HKLM\System\CurrentControlSet\Services\virusscan\Description"提供病毒扫描服务"