病毒名称(中文):
电话费吞噬者7026
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
7026
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载者木马变种。病毒运行后在后台静静创建窗口,尝试下载恶意程序。它会下载一个拨号木马,此木马会自动利用调制解调器拔打国际长途,导致用户背负巨额的电话费。
(1)复制自身至
%sys32dir%\newmaxxsv234.exe
(2)生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSystemSv12"%sys32dir%\newmaxxsv234.exe"
(3)病毒运行后会先创建一个窗口,信息如下:
Class="uhdlpbnf/cj{"
WindowName="uyhbtdnf/cj{"
Style=WS_OVERLAPPED|WS_MINIMIZEBOX|WS_MAXIMIZEBOX|WS_SYSMENU|WS_THICKFRAME|WS_CAPTION
X=80000000(-2147483648.)
Y=80000000(-2147483648.)
Width=1C2(450.)
Height=15E(350.)
然后使用DeleteFileA删除%sys32dir%\newmaxxsv234.exe,再使用CopyFileA复制一个新的。接下来往注册表
"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run"写入名为SystemSv12的
启动项以自启动。然后尝试连接远程网址hxxp://softspyxxxxxx.com/pictures1/maxd下载恶意下载者程序
(Win32.TrojDownloader.Obfuscated.n.14900)。此文件会
被复制至
%temp%\ma11x1dd12111v.game
%sys32dir%\m1ax1d1213216143v.exe
最后创建一个线程创建并激活m1ax1d1213216143v.exe进程
(4)m1ax1d1213216143v.exe进程会下载一个拨号病毒(Win32.Troj.Dialer.ay),此病毒会利用调制解调器拔打国际长途,可直接导致用户的经济损失
hxxp://66.11.xxx.52/accessdenied/?w=3248&a=1