病毒名称(中文):
流氓下载器348160
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
76404
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。它会从指定的地址下载一些流氓软件,运行完毕后还会删除自己释放出的文件。
1.通过"3c93c6661ed2c2"种子循环解密流氓软件下载地址http://888.xxx.cn/pw.ini
2.创建%windir%\(*).tmp(*为数字如5),将pw.ini文件内容写入。
[main]
u=http://219.xxxx.34.9/fuckwer/sss.exe
c=/S
3.获取文件中的流氓软件下载地址后删除上面创建的(*).tmp
4.创建%windir%\(*).tmp(*为数字如6),将sss.exe文件内容写入。
5.解密kernel32.dll和CreateProcessA,然后用LoadLibraryAkernel32.dll,用GetProcAddressCreateProcessA,然后以/s参数来运行下载后的(*).tmp
%windir%\(*).tmp/s
6.以/s参数来运行下载后的(*).tmp
7.删除(*).tmp
8.退出自己进程