病毒名称(中文):
木马下载器20480
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
20480
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者病毒。此病毒文件为muma.exe的可执行文件,但并不局限于该名称,病毒传播者也可能给它取别的名字。它会从指定的网址下载一份下载列表,下载并执行列表中的数十种盗号木马程序。
1.病毒运行后会从http://m.*******.cn/wm/wm.txt下载wm.txt文件,该文件包含信息如下
http://m.*******.cn/down/mh.exe
http://m.*******.cn/down/zx.exe
http://m.*******.cn/down/dh2.exe
http://m.*******.cn/down/wow.exe
http://m.*******.cn/down/wd.exe
http://m.*******.cn/down/my.exe
http://m.*******.cn/down/jh.exe
http://m.*******.cn/down/yt.exe
http://m.*******.cn/down/cs.exe
http://m.*******.cn/down/mh2.exe
http://m.*******.cn/down/dh3.exe
http://m.*******.cn/down/qq.exe
http://m.*******.cn/down/qj.exe
http://m.*******.cn/down/pt.exe
http://m.*******.cn/down/wmgj.exe
http://m.*******.cn/down/wl.exe
http://m.*******.cn/down/zt.exe
http://m.*******.cn/down/tl.exe
http://m.*******.cn/down/hx.exe
http://m.*******.cn/down/cq.exe
http://m.*******.cn/down/zy.exe
http://m.*******.cn/down/jr.exe
http://m.*******.cn/down/sg.exe
http://m.*******.cn/down/wmsj.exe
http://m.*******.cn/down/fy.exe
2.病毒下载的文件会被存放到%systemroot%\avp目录.
3.下载完后病毒会运行上述木马程序,并删除自身.
此病毒进入系统后,并无释放文件的行为,它会立即运行自身病毒文件muma.exe,从http://m.*******.cn/wm/这一由木马种植者指定的网址下载一份名为wm.txt的文本文件。在这个文本文件中,包含了26个盗号木马程序的最新下载地址。
当读取了下载列表,病毒就会静静建立远程连接,在用户无法知晓的情况下,下载列表中的木马程序,将它们存放于系统盘的%WINDOWS%\avp\目录下,并马上把它们激活运行。由于木马种类众多,破坏行为也多样,这就会给用户的系统安全和虚拟财产带来无法估计的威胁。
此外需要提及的是,此病毒名称并不固定,木马种植者可以给它起名muma.exe,也可以起其它名字。并且,它多为随其它病毒进入到用户系统的“帮凶”,假如用户在自己的电脑中发现它,意味着你的电脑中很可能已经潜入了其它病毒。
其他
