病毒名称(中文):
挂马蠕虫34304
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
34304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个蠕虫病毒。该病毒运行后,会从指定的网络地址下载病毒程序,并且会攻击局域网内的其它机器,向它们发送恶意命令,让这些电脑也从网上下载病毒。
这个病毒可以利用网页挂马和捆绑文件传播。
病毒在%WINDIR%\SYSTEM32\目录下释放出文件tmipo.bat和taimpo.txt,并修改系统注册表,添加启动项。接着,它利用tmipo.bat建立批处理,关闭360安全卫士的进程。同时,利用大量的弱口令来尝试破解所入侵电脑的治理员权限,一旦成功,就会生成脚本病毒文件adi.vbs。
该vbs脚本会从http://2*8.7*.91.248/这个由病毒作者指定的地址,下载另一个病毒文件。为迷惑用户,病毒会给它下载的文件命名为qq.exe。经毒霸反病毒工程师分析,这个被下载的病毒文件是个木马下载器,会下载更多的其它木马文件到用户系统中进行破坏。
同时,该病毒搜索局域网的的所有电脑,尝试破解它们的治理员权限,然后遍历磁盘,查找*.htm、*.PHP、*.ASP等网页文件,在其文件尾部插入JS代码,代码地址为之前的http://2*8.7*.91.248/。这样,只要那些电脑的用户登录了染毒网页,就会自动下载病毒文件到电脑上。
