本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中删除了以下文件: C:WINDOWSSYSTEM32ipv6mons.dl_ C:WINDOWSSYSTEM32AClient.dl_ C:WINDOWSSYSTEM32ipv6monq.dl_ C:WINDOWSSYSTEM32ipv6monl.dl_

行为分析：
这是一个木马程序，它会读取用户系统的一些配置信息，并制造后门，连接病毒作者指定的远程服务器，等待黑客连接。

描述：
在磁盘中删除了以下文件:

C:WINDOWSSYSTEM32ipv6mons.dl_

C:WINDOWSSYSTEM32AClient.dl_

C:WINDOWSSYSTEM32ipv6monq.dl_

C:WINDOWSSYSTEM32ipv6monl.dl_

C:WINDOWSSYSTEM32ipv6mote.dl_

C:WINDOWSSYSTEM32ipv6mops.dl_

C:WINDOWSSYSTEM32ipv6mopk.dl_

C:WINDOWSSYSTEM32ipv6motp.dl_

C:WINDOWSSYSTEM32ipv6mopz.dl_



在注册表中创建了以下信息:

"HKCRCLSID{00000000-0000-0000-0000-000000000000}InprocServer32"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00000000-0000-0000-0000-000000000000}"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Settings"



在注册表中设置了以下信息:

"HKCRCLSID{00000000-0000-0000-0000-000000000000}InprocServer32" "default" "C:SAMPLE.DLL"

"HKCRCLSID{00000000-0000-0000-0000-000000000000}InprocServer32" "ThreadingModel" "apartment"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Settings" "bf" "]R#"W"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Settings" "bk" "W>*&_^gkF"ǖo6Jf"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Settings" "mu" "{G?"



会从以下注册表中读取信息:

"HKCUSoftwareBorlandLocales"

"HKLMSoftwareBorlandLocales"

"HKCUSoftwareBorlandDelphiLocales"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Settings"

"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"

"HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun"

"HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"

"HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects"

"HKCRCLSID{00000000-0000-0000-0000-000000000000}InprocServer32"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00000000-0000-0000-0000-000000000000}"



在系统中创建了以下进程:

病毒会创建了一个互斥体 GlobalU6EDz6C-D_bhom_9ts ，防止重复运行