病毒名称(中文):
跳跃木马458756
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
458756
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该毒是一个木马下载器的变种。它利用感染可执行文件来实现传播,会在磁盘中释放出文件,会修改注册表,会创建系统服务。然后从网上下载其它木马文件到电脑中执行。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\resiifers.ini
C:\WINDOWS\SYSTEM32\rvkfhmnwmxema.dll
在注册表中创建了以下信息:
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32"
"HKCR\.exe\RVKFHM~1.IEExtend"
"HKCR\.exe\RVKFHM~1.IEExtend\Clsid"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\ProgID"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
在注册表中设置了以下信息:
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"""""
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32""""C:\WINDOWS\SYSTEM32\RVKFHM~1.DLL"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\InprocServer32""ThreadingModel""Apartment"
"HKCR\.exe\RVKFHM~1.IEExtend"""""
"HKCR\.exe\RVKFHM~1.IEExtend\Clsid""""{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}"
"HKCR\CLSID\{7F76F60B-FF04-4E59-8C6B-B9B53B6EA368}\ProgID""""RVKFHM~1.IEExtend"
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
病毒会从http://z**ax.info/target/load/1.exe下载文件至本地计算机c:\tskmgr.exe
域名:"z**ax.info"端口:80(TCP)
z**ax.info/target/load/1.exe
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""chs"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""3177"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050718"
在系统中创建了以下进程:
"Regsvr32.exe"
病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件
