病毒名称(中文):
办公室伪装者394240
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
394240
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个具有伪装性的木马下载器。它给采用MSOFFICE办公软件的word图标,伪装成word主程序,欺骗用户。
1.复制自身到c:\Documents~1\Administrator\[开始]菜单\程序\启动\word.exe,
c:\Documents~1\new\[开始]菜单\程序\启动\word.exe,使病毒随系统启动。
2.从E盘开始到I盘在系统各分区下释放病毒副本,希奇的是病毒没有建立auto.inf。
3.病毒访问指定地址,
http://www.i***es.cn/show.asp?id=866
http://www.i*****es.cn/show.asp?id=866
http://www.i*****es.cn/show.asp?id=903
http://www.i*****es.cn/show.asp?id=892
http://www.i*****es.cn/show.asp?id=1720
http://www.i*****es.cn/show.asp?id=1759
http://www.i*****es.cn/show.asp?id=1726
http://www.i*****es.cn/show.asp?id=924
http://www.i*****es.cn/show.asp?id=1166
http://www.i*****es.cn/
http://www.i*****es.cn/firefox/
这个网站可能曾被挂马,病毒通过访问该地址下载木马到用户机器中运行。