金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建线程用于创建桌面以及窗口,循环接收消息,当接收到特定消息时退出线程
行为分析:
这是一个病毒下载器程序。它会尝试从多个远程地址下载木马文件,如果均下载失败,就会删除自己,以免被用户察觉
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 创建线程用于创建桌面以及窗口,循环接收消息,当接收到特定消息时退出线程
行为分析:
这是一个病毒下载器程序。它会尝试从多个远程地址下载木马文件,如果均下载失败,就会删除自己,以免被用户察觉
描述:
1. 创建线程用于创建桌面以及窗口,循环接收消息,当接收到特定消息时退出线程
2. 在注册表HKEY_CURRENT_USERSoftWareApplications添加一个字符串项,名称为Path,值为SoftWareApplications;一个Dword值,名称为Removable,值为0
3. 在HKEY_CLASSES_ROOTvideoPl.chlCLSID添加字符串,名称为@,值为{6BF52A52-394A-11D3-B153-00C04F79FAA6}
4. 在HKEY_LOCAL_MACHINESOFTWAREClassesvideoPl.chlCLSID添加字符串,名称为@,值为{6BF52A52-394A-11D3-B153-00C04F79FAA6}
5. 在HKEY_USERSS-1-5-21-1123561945-57989841-725345543-1003SoftwareApplications添加字符串,名称为Path,值为SoftWareApplications
6. 释放%TEMP%gdsh0.bat文件,用于自删除
7. 与下面三个IP通信,发送/this/is/stereo/music.php?param=0;4171;1535请求,若都失败则退出程序85.255.119.244、64.28.180.132、85.255.119.242
8. 若通信成功,则根据发过来的地址下载程序覆盖自身,并检查更新时间
9. 修改HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes下的URL的值,增加google、yahoo、live三个搜索引擎
10. 与下面三个IP通信,发送/this/is/stereo/jazz.php?param=0;4171;1535请求,若都失败则退出程序85.2**.119.2*4、6*.2*.180.132、85.2**.1*9.242
1. 创建线程用于创建桌面以及窗口,循环接收消息,当接收到特定消息时退出线程
2. 在注册表HKEY_CURRENT_USERSoftWareApplications添加一个字符串项,名称为Path,值为SoftWareApplications;一个Dword值,名称为Removable,值为0
3. 在HKEY_CLASSES_ROOTvideoPl.chlCLSID添加字符串,名称为@,值为{6BF52A52-394A-11D3-B153-00C04F79FAA6}
4. 在HKEY_LOCAL_MACHINESOFTWAREClassesvideoPl.chlCLSID添加字符串,名称为@,值为{6BF52A52-394A-11D3-B153-00C04F79FAA6}
5. 在HKEY_USERSS-1-5-21-1123561945-57989841-725345543-1003SoftwareApplications添加字符串,名称为Path,值为SoftWareApplications
6. 释放%TEMP%gdsh0.bat文件,用于自删除
7. 与下面三个IP通信,发送/this/is/stereo/music.php?param=0;4171;1535请求,若都失败则退出程序85.255.119.244、64.28.180.132、85.255.119.242
8. 若通信成功,则根据发过来的地址下载程序覆盖自身,并检查更新时间
9. 修改HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes下的URL的值,增加google、yahoo、live三个搜索引擎
10. 与下面三个IP通信,发送/this/is/stereo/jazz.php?param=0;4171;1535请求,若都失败则退出程序85.2**.119.2*4、6*.2*.180.132、85.2**.1*9.242
回复
评论病毒
