病毒名称(中文):
广告木马209952
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
209952
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个广告程序。可利用感染文件传播。会在磁盘中释放出文件、修改注册表、创建系统服务。它会自动访问病毒作者指定的网址。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\oqipt.dll
C:\WINDOWS\TEMP\sa8119.tmp
C:\WINDOWS\TEMP\sa8119.exe
在磁盘中删除了以下文件:
C:\WINDOWS\TEMP\sa8119.tmp
C:\WINDOWS\TEMP\sa8119.exe
在注册表中创建了以下信息:
"HKCU\Software\Classes\CLSID\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}\InProcServer32"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler"
在注册表中设置了以下信息:
"HKCU\Software\Classes\CLSID\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}\InProcServer32""""C:\WINDOWS\SYSTEM32\oqipt.dll"
"HKCU\Software\Classes\CLSID\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}\InProcServer32""ThreadingModel""Apartment"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler""{5bc82bdb-bc03-4671-9a78-3ef2b68449de}""advisability"
会从以下注册表中读取信息:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareQuake.com"
病毒会连接作者指定的网址:
http://urgen***dowsupdate.biz/get.php?partner=240
域名:"urgen***dowsupdate.biz"端口:80(TCP)
urgen***dowsupdate.biz/get.php?partner=240
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""chs"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""3177"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050718"
在系统中创建了以下进程:
"rundll32.exe"
病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件
