病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
760876
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个释放包,运行该病毒会释放并运行另两释放包1.exe和ie.exe。
1.exe运行后会释放并运行7个流氓软件安装程序和1个病毒释放包,
这个病毒释放包会释放并运行包括一传奇盗号木马在内的4个盗号木马;
ie.exe是一个修改ie主页的木马。
建议电脑用户不要随便运行不名来历的文件,以免中毒受害。
1、该病毒生成的文件
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\1.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\ie.exe
2、1.exe释放的文件列表
C:\temp\wd2_051117_WIS202_mini.exe
C:\temp\boba_super_update-1.0.0.1_Ete_127.exe
C:\temp\101596.exe
C:\temp\10029_setup.exe
C:\temp\1004vip.exe
C:\temp\yx.exe
C:\temp\Skymmstp223.exe
C:\temp\13022.exe
3、ie.exe运行后生成的文件
C:\ProgramFiles\InternetExplorer\reg.reg
C:\ProgramFiles\InternetExplorer\ie.bat
4、wd2_051117_WIS202_mini.exe生成的文件
C:\WINNT\system32\guid.vxd
C:\WINNT\system32\32F77AC0.094
C:\WINNT\system32\msicn\msibm.dll
C:\WINNT\system32\msicn\fin.vxd
C:\WINNT\system32\spoolsv\spoolsv.exe
C:\WINNT\system32\msicn\plugins\bse.dll
5、boba_super_update-1.0.0.1_Ete_127.exe生成的文件
C:\WINNT\system32\sysreal32.dll
C:\ProgramFiles\pcast\PodcastbarMini\update.exe
C:\ProgramFiles\pcast\PodcastbarMini\download.ini
6、101596.exe生成的文件
C:\WINNT\Tasks\DM_Install_Program.job
7、1004vip.exe生成的文件
C:\WINNT\system32\0848\baisoa\setup.tmp
C:\WINNT\system32\0848\baisoa\libadout.dat.tmp
C:\WINNT\system32\0848\baisoa\up.dat
C:\WINNT\system32\0848\baisoa\libverx.dat.tmp
C:\WINNT\system32\0848\baisoa\verx.dat
C:\WINNT\system32\0848\baisoa\libdllhosta.dll.tmp
C:\WINNT\system32\0848\baisoa\dllhosta.dll
C:\WINNT\system32\0848\baisoa\libwinampa.exe.tmp
C:\WINNT\system32\0848\baisoa\winampa.exe
C:\WINNT\system32\0848\baisoa\lib
C:\WINNT\winampa.exe
8、yx.exe生成的文件
C:\ProgramFiles\ad\ad888.exe
C:\ProgramFiles\ad\cs.exe
C:\ProgramFiles\ad\mh.exe
C:\ProgramFiles\ad\zt.exe
9、cs.exe生成的文件
C:\WINNT\WINLOGON.EXE
C:\WINNT\LSASS.exe
10、该病毒最后会删除自己释放的1.exe、ie.exe文件及IXP000.TMP文件夹。