病毒名称(中文):
木马下载器126976
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
126976
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个典型的木马下载器。它会下载木马,并将它们设置为开机自启动。为防止部分下载地址失效,它所下载的木马被分别放置在多个地址中,下载时分别访问这些地址,以确保木马成功下载。
1.获取系统目录以下载文件到该目录下,下载文件前先查找该目录下是否已存在要下载的文件。
2.访问地址http://voxcards.ig.com.br/cartao.asp?c=8410(已失效,可能是作感染量统计)。
3.到指定地址下载文件,下载地址共12个,每3个一组下载同一个文件;
地址列表如下:
1.http://br.ge****ies.com/logsklb01/imgtd.swf
2.http://br.ge*****es.com/logsklb02/imgtd.swf
3.http://r*****.no-ip.info:81/klb/imgtd.swf
4.http://br.ge*****es.com/logsklb04/mirante.swf
5.http://br.ge*****es.com/logsklb02mirante.swf
6.http://r*****.no-ip.info:81/klb/mirante.swf
7.http://br.ge*****es.com/logsklb03/imgbb.swf
8.http://br.ge*****es.com/logsklb04/imgbb.swf
9.http://r*****.no-ip.info:81/klb/imgbb.swf
10.http://br.ge*****es.com/logsklb02/imgbd.swf
11.http://br.ge*****es.com/logsklb04/imgbd.swf
12.http://r*****.no-ip.info:81/klb/imgbd.swf
下载的文件分别保存为
C:\WINDOWS\System32\imgtd.scr
C:\WINDOWS\System32\mirante.scr
C:\WINDOWS\System32\imgbb.scr
C:\WINDOWS\System32\imgbd.scr
4.在注册表中写入如下项
HKEY_CURRENT_USER\imgtd
HKEY_CURRENT_USER\imgtbd
在注册表如下位置添加值,创建自启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
"imgtd"=x:\WINDOWS\System32\imgtd.scr
"imgbb"=x:\WINDOWS\System32\imgbb.scr
"imgbd"=x:\WINDOWS|System32\imgbd.scr
