病毒描述

病毒机制

病毒描述

病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为: 该病毒是一个下载木马。它会下载并执行其它9个病毒，这些病毒都是盗号木马。

建议电脑用户升级病毒库，以免中毒受害。

病毒机制

1、生成的文件

%SystemRoot%\\system32\\msgcom.dll

2、保存注册表信息供远程线程使用。

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\\\cmdmant

"iniurl" = "iuuq;00xxx/jbt{/dpn0joufsofu0dtt/uyu"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\\\cmdmant

"upurl" = "iuuq;00xxx/jbt{/dpn0joufsofu0dtt/emm"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\\\cmdmant

"lineurl" = "iuuq;00xxx/jbt{/dpn"

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\otify\\\\cmdmant

"timer" = "3"

3、加密信息为

"iuuq;00xxx/jbt{/dpn0joufsofu0dtt/uyu"

=

"http://www.iasz.***/internet/css.txt"

--------------------------------------------

"iuuq;00xxx/jbt{/dpn0joufsofu0dtt/emm"

=

"http://www.iasz.***/internet/css.dll"

------------------------------------------

"iuuq;00xxx/jbt{/dpn"

=

"http://www.iasz.***"

--------------------------------------------

4、css.txt内容为病毒下载地址配置文件

-----------------------------------------

[update]

Appearance=true

1=http://www.iasz.***/cq/cq.exe

2=http://www.iasz.***/mh/mh.exe

3=http://www.iasz.***/ms/ms.exe

4=http://www.iasz.***/my/my.exe

5=http://www.iasz.***/wl/wl.exe

6=http://www.iasz.***/wm/wm.exe

7=http://www.iasz.***/zt/zt.exe

8=1234

9=1234

A=1234

------------------------------------------

5、生成%SystemRoot%\\system32\\del.bat批处理文件实现自动删除