病毒名称(中文):
PE木马模块918
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
918
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
样本是一个由高级语言编写的蠕虫。它是某木马的组成部分,负责下载配置文件。
1.病毒下载文件ftp://br***:br***@8.mai*****.cn/br***/t***/tas***.ini,此文件为病毒任务配置文件。
2.病毒读取配置文件,此配置文件格式如下:
[main]
tskn__=8
Co___=2
[t0]
ep=1._
url=http://www.h_____ft.c__.c_/
sta___l=1
di__le=di__.da_
de__=3
[t0_d0]
ep=20
rectnum=2
rect_0=0;240,427,355,537,;0.5;
rect_1=0;480,427,874,541,;1.0;
[t0_d1]
ep=100
rectnum=3
rect_0=0;570,423,771,442,;1.0;
rect_1=0;482,457,863,615,;3.0;
rect_2=1;125,169,844,452,;1.0;
[t0_d2]
ep=20
rectnum=1
rect_0=0;450,122,802,577,;1.0;
[t1]
ep=3.0
url=http://www.h****m.c_/so_*/sor___0a/lis____.htm
staticurl=1
(后面省略...)
3.病毒按照如上配置文件格式,逐一调用IE访问。
4.病毒更新配置文件,并继续.