VBS.Iframe.np.934

病毒名称(中文):

屏保伪装脚本934

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

838

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个远程控制木马。它是个脚本文件，会伪装成屏幕保护程序，欺骗用户放松警惕，然后将用户电脑与黑客的远程服务器连接。

在磁盘中释放出以下文件:

C:

C:\WINDOWS

C:\WINDOWS\[vs63www.ai***8.net(1f')].chm

C:\WINDOWS\12.exe

会从以下注册表中读取信息:

"HKCU\Software\FlySky\E\Install"

病毒会连接作者指定的网址:

域名:"ba**r.q**v.org"端口:32321(TCP)

在磁盘中创建以下配置文件:

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"RTL""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field1]"Text""C:\WINDOWS\TEMP\nss8099.tmp\modern-wizard.bmp"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"NumFields""3"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"NextButtonText"""

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"CancelEnabled"""

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"Text""WelcometotheHappyEaster!ScreensaverSetupWizard"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"Bottom""48"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"Top""55"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"Bottom""185"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field1]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"State""0"

在系统中创建了以下进程:

病毒尝试打开CLSID为{0000002C-5994-0005-C058-00433C3B4000}的组件

病毒尝试打开CLSID为{0000002C-5994-0005-9E63-00433C3B4000}的组件

"012.exe"

"setup1469.exe"

"IeLockerInst_25.exe"

"dodolook040.exe"

"SetupDll1000.exe"

• ·Win32.Adware.Ejik.jg.22
• ·Win32.Hack.sdbot
• ·Win32.Hack.Agent.sr.286
• ·Win32.Troj.EncodeIe.ao.
• ·Win32.Adware.CDN.74240
• ·Win32.Troj.Lmir.be.2218
• ·Win32.Troj.Tibs.kj.2867
• ·Win32.RiskWare.PEBundle
• ·Win32.PSWTroj.QQPass.15
• ·Win32.Troj.LwyMum.ua.17