病毒名称(中文):
盗号木马下载器4043
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
4043
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马下载器。会在磁盘中释放出文件、修改注册表、创建系统服务。从网上下载最新的配置文件,从中获取大量的盗号木马下载地址,将它们下载到中毒电脑中。
在磁盘中释放出以下文件:
C:\WINDOWS\wsvbs.exe
在注册表中创建了以下信息:
"HKCU\Software\Classes\{0D6B2953-2B9A-65FD-7534-9D0A73D9AAD1}"
"HKCU\Software\PeCancer\{E53EE2C3-4E4B-6433-7F34-B18FDB009791}"
"HKLM\Software\CLASSES\{58D0710A-EEA1-522D-E260-7F0531D1FAE0}"
会从以下注册表中读取信息:
"HKCU\Software\Classes\{0D6B2953-2B9A-65FD-7534-9D0A73D9AAD1}"
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
病毒会从http://www.x****ws.cn/Myconfig/config_refresh.asp下载文件至本地计算机C:\WINDOWS\SYSTEM32\error01.ini
域名:"www.x****ws.cn"端口:80(TCP)
www.x****ws.cn/Myconfig/config_refresh.asp
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"username""chs"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ID""3177"
C:\WINDOWS\SYSTEM32\resiifers.ini[settings]"ver""050718"
在系统中创建了以下进程:
[SeDebugPrivilege]权限被病毒使用了
"wsvbs.exe"
病毒会通过以下途径传播:
病毒会利用网络进行传播
