病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
126656
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个具有下载和发email功能木马病毒。它会下载并执行另一病毒文件。
1、生成的文件
%SystemRoot%\softpacke.exe
%SystemRoot%\ieupdate.dat
2、添加注册表启动项目
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"ServiceSystem"="%SystemRoot%\softpacke.exe"
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Run
"ServiceSystem"="%SystemRoot%\softpacke.exe"
3、该病毒在系统安装了一个类型为WH_MSGFILTER的消息钩子,其申请进程路径为:"%SystemRoot%\softpacke.exe"。
4、运行该病毒会弹出一个标题为:FINDERROR,内容为:CompativeWindowsNTServer的错误对话框。
5、该病毒运行后会不停的维护注册表HKLM\Software\Microsoft\Windows\CurrentVersionRun下"ServiceSystem"键值。
6、该病毒会打开并监听一个10**的UDP端口。
7、该病毒会下载,下载地址为:
http://www.sup****t.spe****rv.com/downloads/winlockdll.dll
8、该病毒会访问下列网址
www2.ban****asil.com.br
int*****caixa.c***a.gov.br
bankline.i***.com.br
https://www2.ban****asil.com.br/aapf/personalizacao/coca.jsp?cod=1
https://www2.ban****rasil.com.br/aapff/aaii/principal
https://www2.ban****asil.com.br/aapf/aai/principal
https://www2.ban****asil.com.br/aapf/saldos/006.jsp?codT=0
https://wwwss.bra****o.com.br/scripts/ib2k1.dll/LOGINCHK#top
https://ban***ne.i***.com.br/GRIPNET/gracgi.exe
https://offi*****king.bra****o.com.br//pj/iniciasessao.asp
https://offi*****king.bra****o.com.br/pj/avisos/Aviso_Novo_Telefone.html
9、该病毒会以下列email地址发电子邮件
alx***m@terra.com.br
tre***@terra.com
sil***85@yahoo.com.br