本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
运行后释放病毒文件: %systemroot%system32aspimgr.exe 病毒配置文件(已加密数据): %systemroot%ws386.ini %systemroot%db32.txt %systemroot%s32.txt

行为分析：
这是一个用于盗窃FTP资源的盗号木马。病毒经过了复杂的加密，试图阻止反病毒软件厂商的查杀。如果运行起来，它就会从用户系统中的FTP相关软件（比如CuteFTP这样的工具）中盗取用户保存的FTP连接地址、帐号信息等敏感数据，然后发送到病毒作者指定的地址。

描述：
运行后释放病毒文件:

%systemroot%system32aspimgr.exe

病毒配置文件(已加密数据):

%systemroot%ws386.ini

%systemroot%db32.txt

%systemroot%s32.txt



病毒所有重要数据都经过加密处理(包括字符串、API函数等).



所有 API 函数都是通过运行时调用 GetProcAddress 获取,并在之后调用.



如果病毒文件名包含了以下字符串"flash"、"java"、"msupdate",则在运行时分别弹出不同的对话框窗口,内容如下:

flash: The latest version of Adobe Flash Player is already installed on your system.

java: The latest version of Sun Java Runtime Environment is already installed on your system.

msupdate: The latest Windows security updates are already installed on your system.



把字符串"version=427"加密后写入 %systemroot%ws386.ini 文件.



获取 %systemdrive%Document and Settings当前用户Application Data 和 %systemdrive%Document and SettingsAll UsersApplication Data 两个路径,分别读取这两个路径下的下层路径 "GlobalSCAPE\CuteFTP2.0" 的 sm.dat 文件.

注意: GlobalSCAPE\CuteFTP2.0 这里会分别读取 2.0、3.0、5.0、6.0、7.0、8.0 的软件版本号.

还会读取 GlobalSCAPECuteFTP Pro 和 GlobalSCAPECuteFTP Home这两上下层路径,读取的软件版本号与上一个一样.

这步操作只有读取,并无实际的盗取行为.



获取 %systemroot%win.ini 文件路径,读取文件里的 [WS_FTP] 下的 DIR 或 DEFDIR 两个字段的值与 "ws_ftp.ini" 连接成文件路径.

得到该文件里所有 Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).



同样获取 %systemdrive%Document and Settings当前用户Application Data 和 %systemdrive%Document and SettingsAll UsersApplication Data 两个路径. 分别枚举读取这两个路径下的下层路径 "IpswitchWS_FTPSites"、"IpSwitchWS_FTP HomeSites"、"IpswtichWS_FTP ProfessionalSites"下的所有 ini 格式文件,并得到所有 ini 文件里的 Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).



枚举注册表 HKEY_CURRENT_USERSoftwareFarPluginsFTPHosts 下的所有键,得到每个键下的 HostName,Description,User,Password 的值.



把得到的所有信息(Host,Uid,Pwd)写入 %windir%db32.txt 文件里,



病毒创建系统服务启动:

Key: "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesaspimgr"

ImagePath: "%systemroot%system32aspimgr.exe"

DisplayName: "Microsoft ASPI Manager"

ObjectName: "Localsystem"