病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
147456
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个windows平台的感染型病毒,感染.exe可执行文件,该病毒会收集用户系统相关信息并提交到制定的网址。
1、释放病毒文件到如下路径并设置其属性为系统、隐藏、只读:
%system%\d9dx.dll
%system%\d3d8xof.dll
2、修该注册表,添加如下注册表项:
[HKCR\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32]
(Default)="C:\WINDOWS\system32\d3d8xof.dll"
[HKCR\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32]
ThreadingModel="Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
DirectX="{DA1910DE-AA86-4ED0-874B-2924E38BAD99}"
[HKLM\Software\Google]
CheckBKFlags=随机值
3、创建如下互斥体:
ACPI#PNPDODO#1#Amd_DL5
__DL5XYEX__
__DL_CORE5_MUTEX__
4、搜索explorer.exe进程并注入,创建两个病毒线程:
线程1:
a、创建浏览器进程,注入病毒代码,收集用户信息,提交到如下网址之一:
h**p://me**age.microsofte.in/counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d
h**p://www.im**0rldwide.com/DL/Counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d
b、从入下网址之一读取配置信息,自更新文件:
h**p://www.im**0rldwide.com/DL/1.dat
h**p://me**age.microsofte.in/updata.dlm
线程2:遍历磁盘,感染文件名中含有.exe的可执行文件,但不感染符合如下条件的文件:
路径中含有如下字符串:
:\WINNT:\WINDOWSLOCALSETTINGS\TEMP文件名包含在如下列表中的文件:
zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
大话西游.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe
