病毒名称(中文):
蠕虫下载器81920
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
81920
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载器程序。它本身是个蠕虫,利用感染EXE格式文件进行传播。会在磁盘中释放出文件、修改注册表、创建系统服务。创建的服务会随机冒充成一些系统进程。然后连接病毒作者指定的地址下载其它恶意文件。
在磁盘中释放出以下文件:
C:\Deleteme.bat
C:\WINDOWS\Autorun.inf
在磁盘中删除了以下文件:
"c:\sample.exe"
病毒会删除自身
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
http://c****bhfzz.com/progs/dthuym/llzmqq.php?adv=adv581
域名:"c****bhfzz.com"端口:80(TCP)
c****bhfzz.com/progs/dthuym/llzmqq.php?adv=adv581
http://c****bhfzz.com/progs/dthuym/vsjjxbs.php
c****bhfzz.com/progs/dthuym/vsjjxbs.php
在磁盘中创建以下配置文件:
c:\Profiles\UserConfig.ini[Update]"RunUpdate""0"
在系统中创建了以下进程:
"cmd.exe"(也有可能是别的进程名)
病毒会通过以下途径传播:
病毒会感染硬盘中存在的可执行文件
感染文件
