病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
803763
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个释放包,会释放并运行两款病毒,其中是一个是灰鸽子木马。
1、该病毒会释放并运行两个病毒
%SystemRoot%\system32\svch1st.exe
%SystemRoot%\system32\svch2st.exe
2、svch1st.exe病毒运行后生成的文件
%SystemRoot%\system32\WinIo.sys
%SystemRoot%\system32\WinIo.dll
%SystemRoot%\system32\stdlib.vbs
%SystemRoot%\system32\QMDispatch.dll
%SystemRoot%\system32\hknm.sys
%SystemRoot%\system32\helper.dll
%SystemRoot%\system32\cfgdll.dll
%SystemRoot%\system32\BException.dll
%SystemRoot%\system32\WINIO.VXD
%SystemRoot%\QMDispatch.dll
%SystemRoot%\system32\rename.ini
%SystemRoot%\system32\tqplhn.dll
%SystemRoot%\FFFFSSSS.BAT
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\macroinfo.dat
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\macro0.tmp
%SystemRoot%\system32\mymacro.htm
%SystemRoot%\system32\mymacro.gif
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2
3、svch2st.exe病毒运行后生成的文件,该病毒是灰鸽子病毒
%SystemRoot%\win.exe
%SystemRoot%\win.DLL
4、svch1st.exe病毒添加驱动
HKLM\System\CurrentControlSet\Services\WINIO
"Type"="0x1"
HKLM\System\CurrentControlSet\Services\WINIO
"Start"="0x3"
HKLM\System\CurrentControlSet\Services\WINIO
"ImagePath"="\??\%SystemRoot%\system32\winio.sys"
HKLM\System\CurrentControlSet\Services\WINIO
"DisplayName"="WINIO"
5、svch2st.exe病毒添加服务
HKLM\System\CurrentControlSet\Services\System
"Type"="0x110"
HKLM\System\CurrentControlSet\Services\System
"Start"="0x2"
HKLM\System\CurrentControlSet\Services\System
"ImagePath"="%SystemRoot%\win.exe"
HKLM\System\CurrentControlSet\Services\System
"DisplayName"="System"