本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中释放出以下文件: C:DOCUME~1SANDBOXLocal SettingsTemporary Internet Files Application DataMicrosoftOffice 会从以下注册表中读取信息:

行为分析：
这是一个盗号木马，它会注入用户电脑的系统进程中运行，盗取病毒作者指定的帐号和密码。

描述：
在磁盘中释放出以下文件:

C:DOCUME~1SANDBOXLocal SettingsTemporary Internet Files

Application DataMicrosoftOffice



会从以下注册表中读取信息:

"HKLMSoftwareMicrosoftNetDDEParametersGeneral"



病毒会连接作者指定的网址:

病毒会从 http://dd4.t***kl.info/not.exe 下载文件至本地计算机 c:

ot.exe

域名:"dd4.t***kl.info" 端口:80 (TCP)

dd4.t***kl.info/not.exe



在磁盘中创建以下配置文件:

C:Documents and SettingsAll Userslljydf16.ini [mydown] "old_exe" ""

C:Documents and SettingsAll Userslljydf16.ini [mydown] "old_dll32" ""

C:Documents and SettingsAll Userslljydf16.ini [mydown] "ver" "080924"

C:Documents and SettingsAll Userslljydf16.ini [mydown] "fn_exe" "C:WINDOWSSYSTEMllwzjy080924.exe"

C:Documents and SettingsAll Userslljydf16.ini [mydown] "reg_start" "dlnjjbdfa"

C:Documents and SettingsAll Userslljydf16.ini [mydown] "fn_dll" "C:WINDOWSSYSTEMmvjj32dla.dll"



记录输入数据与配置信息

发送到远程地址



病毒会通过以下途径传播:

病毒会利用网络进行传播