病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
有害程序
病毒长度:
40960
影响系统:
WinNTWin2000WinXP
病毒行为:
病毒获取客户计算机上的C盘的盘卷序列号。
病毒通过初始化的值与获取的C盘的盘卷序列号以以下方法算出系统服务名、文件名(Exe)、文件名(Dll):
UPopWinIe->系统服务名
系统服务名->文件名(Exe)
文件名->文件名(Dll)
病毒文件(Dll)判定是否注入了包含字符串"winlogon.exe"的进程。
创建线程查找客户计算机上是否存在以下注册表项:(存在则删除)
HKEY_LOCAL_MACHINE\Software\System\CurrentControlSet\Services\ERSvc
创建系统服务,服务指向的病毒文件(Exe)带参数"-p"。
注入explorer.exe进程。
在客户计算机上枚举窗口,如发现QQ聊天窗口则向窗口发送指定的字符串并发送出去。
读取指定网址上的文件,获取木马下载地址并下载保存到客户计算机上保存->运行。
添加的注册表值:
注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT
名称:ReportBootOk
数据:0x00000001
总结:病毒会以指定的字符串"UPopWinIe"算出系统服务名,再以服务名算出其它文件名等。计算出来的病毒文件(包括Exe和Dll)和系统服务名都是以数字0~9与字母A~F组合的。病毒还会从获取到的木马地址下载木马程序保存到客户计算机上并运行。