又一个感染型病毒，一个盗号木马下载器

2007-02-12 17:30:00

　标签：木马病毒　　　[推送到技术圈]

病毒别名：

处理时间：2007-02-12

威胁级别：★★

中文名称：

病毒类型：Win32病毒

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这个是一个windows平台的感染型病毒，感染本地磁盘中*.exe的PE文件，并会连接网络下载多种木马，给用户造成极大危害。

1、复制自身到%windows%\system\internet.exe,并删除病毒原文件。

2、在系统中每个磁盘根目录下创建autorun.inf和setup.exe文件，使用户双击盘符时，激活病毒。

3、创建%windows%\win.log文件，记录磁盘中所有目录下*.exe文件的路径，并感染。

4、检测网络状态，当网络可用时，连接网址h**p://mm.21380.com/txt.txt，下载病毒配置文件到%windows%\system\SYSTEM32.TMP。

5、从病毒配置文件解密欲下载病毒地址，解密后如下：
http://222.220.16.199/ccc/1.exe
http://222.220.16.203/ccc/2.exe
http://222.220.16.203/ccc/3.exe
http://222.220.16.203/ccc/4.exe
http://222.220.16.203/ccc/5.exe
http://222.220.16.203/ccc/6.exe
http://222.220.16.203/ccc/7.exe
http://222.220.16.203/ccc/8.exe
http://222.220.16.203/ccc/9.exe
http://222.220.16.199/ccc/svchost.exe

6、下载病毒到%windows%\system目录下，检测病毒文件，当为有效的可执行文件时，运行病毒。下载的病毒多为盗号木马，给用户造成极大损失。

相关文章

文章评论