病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
15470
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载器,连接网络下载多种木马病毒。
1、复制自身到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.bak
释放病毒DLL文件到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll
2、修改注册表,添加如下表项,是病毒每次系统启动时加载自身:
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\(Default)
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
(Default)="C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll"
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
"ThreadingModel"="Apartment"
3、安装全局钩子,将病毒dll文件注入系统中存在的进程。
4、当发现注入的进程为explorer.exe或VerCLSID.exe时,连接网络到如下网址下载病毒到本地并运行:
h**p://7y7.us/s**n/csrss.exe
h**p://7y7.us/s**n/svchost32.exe
h**p://7y7.us/s**n/smss.exe
h**p://7y7.us/s**n/services.exe
h**p://7y7.us/s**n/svchost.exe
h**p://7y7.us/s**n/conime.exe
h**p://7y7.us/s**n/ctfmon.exe
h**p://7y7.us/s**n/mmc.exe
h**p://7y7.us/s**n/iexplore.exe
h**p://7y7.us/s**n/srogm.exe
5、向可移动磁盘中复制如下病毒文件,传播自身:
Ghost.pif
autorun.inf