病毒名称(中文):
盗号下载器49152
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
49152
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个网游盗号木马的变种。它会在磁盘中释放出文件、修改注册表、创建系统服务。创建的服务进程会随机命名,然后连接作者指定的地址,下载其它病毒文件到用户电脑中执行盗号。同时,该毒还会关闭一些常见安全软件的进程。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\resiifers.ini
C:\WINDOWS\SYSTEM32\vjelmzppiydii.dll
在注册表中创建了以下信息:
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32"
"HKCR\.exe\VJELMZ~1.IEExtend"
"HKCR\.exe\VJELMZ~1.IEExtend\Clsid"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\ProgID"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
在注册表中设置了以下信息:
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"""""
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32""""C:\WINDOWS\SYSTEM32\VJELMZ~1.DLL"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32""ThreadingModel""Apartment"
"HKCR\.exe\VJELMZ~1.IEExtend"""""
"HKCR\.exe\VJELMZ~1.IEExtend\Clsid""""{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\ProgID""""VJELMZ~1.IEExtend"
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
病毒会从http://onl****ideosoftex.com/drv32.data下载文件至本地计算机cachefile
域名:"onl****deosoftex.com"端口:80(TCP)
onl****deosoftex.com/drv32.data
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""wzw"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""4065"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050918"
在系统中创建了以下进程:
"Regsvr32.exe"
病毒会通过以下途径传播:
病毒会感染硬盘中存在的可执行文件
