病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
112640
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台通过网络下载其它病毒的病毒下载器,病毒运行后利用注入代码技术绕过网络防火墙软件的监视将病毒代码注入特定的进程中(因系统而异),从而下载并运行其它病毒,给用户安全造成影响。
病毒主要通过捆绑或欺骗方式进行传播。
1、病毒根据不同的系统平台将病毒代码注入不同的进程中,有以下两种情况.
Win9x:
将代码注入窗体类名为"Shell_TrayWnd"的进程中.
win2k/xp/2003:
(1)通过访问以下注册表项获取IE程序所在的位置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\AppPaths\IEXPLORE.exe
(2)获取到ie的完整路径后,病毒运行ie,然后通过查找窗体类名为"IEFrame"的方式来定位ie进程,并将病毒代码注入该进程中。
2、网络资源可用时病毒尝试从以下网站下载其它病毒:
http://www.cn***.org/muma.exe
下载完毕后保存为:"C:\\WINDOWS\\system32\\muma.exe"
下载成功后病毒运行下载后的程序。