病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个木马下载器，从指定网站下载一个文件运行。它释放一个DLL文件到系统临时目录，在后台打开IE浏览器，然后将该释放的DLL文件加载到IE进程中。病毒以IE浏览器的身份访问网络并从指定网站下载一个文件运行，以躲过病毒防火墙的盘查。

1.释放文件%Temp%\\mmdllmm.dll（UPX压缩，长度为6248字节，解压后为10344字节，病毒名为Win32.Troj.Airsupply）。

2.修改注册表。

添加启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Internat"="<病毒原始位置>"

3.在病毒文件尾部附带了网页文件的地址，它将该地址写入到释放的dll文件中，用来下载并运行。病毒创建进程iexplorer.exe，在WinNT系统下通过创建远程线程的方式，将释放的mmdllmm.dll注入到进程iexplorer.exe；在Win9x则加载释放的mmdllmm.dll，并调用其导出的函数_SetHook，然后通过创建消息钩子的方式加载到进程iexplorer.exe中。

4.mmdllmm.dll访问以iexplorer.exe的身份到指定网址上下载文件并运行，使用户感染新病毒。