病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
60453
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个下载器,会下载广告等风险程序到用户的机器并安装。
1、释放以下文件:
%CurrentUserDir%\LocalSettings\Temp\server.exe
%CurrentUserDir%\LocalSettings\Temp\iedw.dll
%ProgramFiles%\windowsmediaplayer\iedw.exe
%ProgramFiles%\windowsmediaplayer\setup_wm.dll
%ProgramFiles%\internetexplorer\hmmapi.exe
%ProgramFiles%\internetexplorer\iedw.dll
%CurrentUserDir%\LocalSettings\Temp\UserID.txt
%DocumentsandSettings%\AllUsers\ApplicationData\Adobe\UserID.txt
3、通过查找注册表获得QQ及联众游戏的安装目录,分别释放以下文件到相关目录下:
%QQ目录%\qqCfg.exe
%QQ目录%\Setup.inf
%联众目录%\glworldcfg.exe
%联众目录%\Setup.inf
4、搜索桌面,将QQ及联众游戏的快捷方式删除,并创建同名的分别指向病毒体%QQ目录%\qqCfg.exe和%联众目录%\glworldcfg.exe的快捷方式。
5、搜索当前用户的「开始」菜单\程序\启动目录下的.lnk文件,将QQ及联众游戏的.lnk文件删除,并创建同名的分别指向病毒体%QQ目录%\qqCfg.exe和%联众目录%\glworldcfg.exe的.lnk文件。
6、将当前用户的\ApplicationData\Microsoft\InternetExplorer\QuickLaunch\启动下的文件:InternetExplorer浏览器.lnk删除,并创建一个同名的指向病毒文件:%ProgramFiles\InternetExplorer\hmmapi.exe的.lnk文件。
7、当用户通过被病毒更改后的.lnk文件启动QQ、联众游戏或者IE浏览器时,病毒会将病毒文件%CurrentUserDir%\LocalSettings\Temp\iedw.dll注入到该进程。
8、病毒文件iedw.dll会判定以下文件是否存在,假如不存在则当相关网站去下载。
文件:
%s\\windowsmediaplayer\\iedw.exe
%s\\windowsmediaplayer\\iedw.dll
%s\\windowsmediaplayer\\setup_wm.dll
对应下载地址:
http://bj.jfg***.net/jw/server.exe
http://bj.jfg***.net/jw/iedw.dll
http://bj.jfg***.net/jw/iedw.dll
9、病毒文件iedw.dll会将配置文件:http://bj.jfg***.net/jw/ini/download.ini下载到本机,该ini的格式如下:
[Version]
Item0=20060918
Item1=20060914
Item2=20060914
Item3=20060915
Item4=20060919
[File]
Item0=http://cs***.com/cnbe/bind_40017.exe
Item1=http://cs***.com/cnbe/setup72.exe
Item2=http://cs***.com/cnbe/10010.exe
Item3=http://cs***.com/cnbe/Dx915.exe
Item4=http://cs***.com/cnbe/8146sohu.exe
[Size]
Item0=41260
Item1=402944
Item2=60453
Item3=269198
Item4=79360
10、病毒会根据Version字段来到相应网站下载最新版本的文件到本机的%DocumentsandSettings%\AllUsers\ApplicationData\Adobe目录下,并执行。