病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
46402
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是打开http://www.*haoz.***网站下载下来的其中一个盗号木马。
打开http://www.*haoz.***网站时,它会执行http://32.**.51.la/s.asp?id=487556
网页请求的一个广告http://afied.***/afied/ad0468.htm,
该广告的会打开http://afied.***/d/ads.htm网页,这个网页是一个下载执行脚本,
它会下载并运行http://afied.***/d/ms32.exe,这是一个下载木马,
它会下载并执行四个病毒,该病毒是其中之一。该病毒会盗取传奇、魔兽等游戏帐号及QQ密码。
建议上网的用户打开病毒实时监视和防火墙,避免上网站时感染病毒。
1、生成的文件
%SystemRoot%\1.com
%SystemRoot%\ExERoute.exe
%SystemRoot%\WINLOGON.EXE
%SystemRoot%\finder.com
%SystemRoot%\explorer.com
%SystemRoot%\system32\finder.com
%SystemRoot%\system32\explorer.com
%SystemRoot%\system32\command.pif
%SystemRoot%\system32\3721.exe
%SystemRoot%\system32\dxdiag.com
%SystemRoot%\system32\regedit.com
%SystemRoot%\system32\MSCONFIG.COM
%SystemRoot%\system32\rundll32.com
%D:%\pagefile.pif
%D:%\autorun.inf
2、该病毒修改了系统exe文件关联、http协议缺省启动程序、ftp协议缺省启动程序、
htmlfile协议缺省启动程序的默认设置和添加了注册表启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TorjanProgram"="%SystemRoot%\WINLOGON.EXE"
3、下载木马ms32.exe的下载列表如下:
http://23yad.com/bads.exe
http://23yad.com/abes.exe
http://23yad.com/adxs.exe
http://23yad.com/sced.exe
其中该病毒的下载路径是http://23yad.com/bads.exe,
http://23yad.com/abes.exe为另一个下载病毒的木马。