病毒名称(中文):
感染型木马91716
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
91716
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序。它本身实际上是个蠕虫,可以利用感染exe文件来进行传播。它进入用户系统后会在磁盘中释放出文件、修改注册表,并对抗安全软件。然后设法取得用户权限,创建非法的系统服务。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\infC:\WINDOWS\pwisys.ini
C:\WINDOWS\SYSTEM\sgcxcxxaspf080507.exe
C:\WINDOWS\SYSTEM32\inf\sppdcrs080507.scr
C:\WINDOWS\SYSTEM32\mdccasys32_080507.dll
C:\WINDOWS\SYSTEM32\inf\scsys16_080507.dll
C:\WINDOWS\SYSTEM32\lwfdfia16_080507.dll
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"
病毒会连接作者指定的网址:
about:blank
域名:"about:blank"端口:80(TCP)
about:blank/
在磁盘中创建以下配置文件:
pwisys.ini[hitpop]"first""1"
pwisys.ini[hitpop]"ver""080507"
pwisys.ini[exe]"fn""C:\WINDOWS\SYSTEM\sgcxcxxaspf080507.exe"
pwisys.ini[temp]"myf""e"
pwisys.ini[exe_bak]"fn""C:\WINDOWS\SYSTEM32\inf\sppdcrs080507.scr"
pwisys.ini[dll_hitpop]"fn""C:\WINDOWS\SYSTEM32\mdccasys32_080507.dll"
pwisys.ini[dll_start_bak]"fn""C:\WINDOWS\SYSTEM32\inf\scsys16_080507.dll"
pwisys.ini[dll_start]"fn""C:\WINDOWS\SYSTEM32\lwfdfia16_080507.dll"
pwisys.ini[sys]"bat""c:\myDelm.bat"
pwisys.ini[delete]"fn""c:\sample.exe"
在系统中创建了以下进程:
[SeDebugPrivilege]权限被病毒使用了
病毒会枚举系统进程,可能会对一些安全进程进行关闭操作
病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件