病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
86016
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个病毒释放器,它能释放多种病毒程序。
1:释放文件
病毒运行后,会释放以下文件(*为随机数字)
C:\\*****.**->Win32.Troj.Agent.cm.13824
C:\\****.***->Win32.Troj.Agent.vb.19968
%病毒目录%\\Upack.exe(UPack加壳程序,不是病毒)
之后病毒会运行释放文件,并写一个bat脚本(C:\\DelMe.bat)自删除
2:释放的病毒体
病毒原体会使用释放出来的UPack程序对释放出来的病毒体
C:\\*****.**->Win32.Troj.Agent.cm.13824
进行加壳,然后拷贝到C:\\ProgramFiles\\%随机数字%\\%随机数字%.DLL处,
并插入到Explorer.exe进程中运行,盗取用户QQ密码。
C:\\****.***->Win32.Troj.Agent.vb.19968
此病毒体会释放出病毒体到以下目录
C:\\ProgramFiles\\CommonFiles\\System\\MS******.DLL(*为随机数字)
病毒名为Win32.Troj.Agent.vb.81920,并加入隐藏属性,
然后注入到Winlogon.exe,svchost.exe,services.exe进程中运行。
更改注册表值
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden
ShowAll=0x00
MS******.DLL会再次释放两个文件
C:\\WINDOWS\\System32\\HF******.log(Win32.Troj.Tiny.d.2048)
C:\\WINDOWS\\System32\\MS******.CPL(Win32.Troj.Tiny.d.2048)
不定时用IE弹出以下网站www.****.net
