病毒名称(中文):
木马下载器163840
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
163840
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器程序。会在磁盘中释放出文件,会修改注册表,会创建系统服务。
在磁盘中释放出以下文件:
C:\2206172990
C:\twwoqrc.exe
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
http://caatadgouk.com/progs/rsgbfwene/fjrdc.php?adv=adv400
域名:"caatadgouk.com"端口:80(TCP)
caatadgouk.com/progs/rsgbfwene/fjrdc.php?adv=adv400
http://caatadgouk.com/progs/rsgbfwene/daaxypz.php
caatadgouk.com/progs/rsgbfwene/daaxypz.php
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""chs"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""3177"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050718"
在系统中创建了以下进程:
"twwoqrc.exe"