VBS.Iframe.np.934 - 王朝网络宽屏版

病毒名称(中文):

屏保伪装脚本934

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

838

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个远程控制木马。它是个脚本文件，会伪装成屏幕保护程序，欺骗用户放松警惕，然后将用户电脑与黑客的远程服务器连接。

在磁盘中释放出以下文件:

C:\WINDOWS

C:\WINDOWS\[vs63www.ai***8.net(1f')].chm

C:\WINDOWS\12.exe

会从以下注册表中读取信息:

"HKCU\Software\FlySky\E\Install"

病毒会连接作者指定的网址:

域名:"ba**r.q**v.org"端口:32321(TCP)

在磁盘中创建以下配置文件:

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"RTL""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field1]"Text""C:\WINDOWS\TEMP\nss8099.tmp\modern-wizard.bmp"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"NumFields""3"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"NextButtonText"""

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"CancelEnabled"""

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"Text""WelcometotheHappyEaster!ScreensaverSetupWizard"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"Bottom""48"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"Top""55"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"Bottom""185"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field1]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field2]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Field3]"HWND""0"

C:\WINDOWS\TEMP\nss8099.tmp\ioSpecial.ini[Settings]"State""0"

在系统中创建了以下进程:

病毒尝试打开CLSID为{0000002C-5994-0005-C058-00433C3B4000}的组件

病毒尝试打开CLSID为{0000002C-5994-0005-9E63-00433C3B4000}的组件

"012.exe"

"setup1469.exe"

"IeLockerInst_25.exe"

"dodolook040.exe"

"SetupDll1000.exe"