病毒名称(中文):
黑客木马385024
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
385024
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序的变种。它会在磁盘中释放出名称为空的exe文件,会修改注册表,创建系统服务。连接病毒作者指定的远程地址,等待连接。
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"
病毒会连接作者指定的网址:
http://ca****gouk.com/progs/rsgbfwene/fjrdc.php?adv=adv400
域名:"ca****gouk.com"端口:80(TCP)
ca****gouk.com/progs/rsgbfwene/fjrdc.php?adv=adv400
http://ca****gouk.com/progs/rsgbfwene/daaxypz.php
ca****gouk.com/progs/rsgbfwene/daaxypz.php
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""chs"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""3177"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050718"
在系统中创建了以下进程:
病毒创建了一个CLSID为{00021401-0000-0000-C000-000000000046}类名为IShellLinkA的COM组件
病毒会通过以下途径传播:
病毒会利用网络进行传播
