本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中释放出以下文件: C:WINDOWSSYSTEM32FGURL1get.dll C:\_delme.bat 在磁盘中删除了以下文件: "c:sample.exe" 病毒会删除自身

行为分析：
这是一个远程木马程序。它会将用户电脑与黑客服务器相连接，并会在注册表中建立多个启动项，确保自己可以顺利运行。

描述：
在磁盘中释放出以下文件:

C:WINDOWSSYSTEM32FGURL1get.dll

C:\_delme.bat



在磁盘中删除了以下文件:

"c:sample.exe"

病毒会删除自身



在注册表中创建了以下信息:

"HKCUSoftwareMicrosoftInternet ExplorerSearchScopes"

"HKCUSoftwareWinrarFormats"

"HKCRCLSID{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}"

"HKCRCLSID{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}InprocServer32"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}"



在注册表中设置了以下信息:

"HKCUSoftwareWinrarFormats" "version" "F027"

"HKCRCLSID{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}" "" "Flash get URL"

"HKCRCLSID{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}InprocServer32" "" "C:WINDOWSSYSTEM32FGURL1~1.DLL"

"HKCRCLSID{A0FC035B-4883-4DB6-9B29-7BCD419F85B8}InprocServer32" "ThreadingModel" "Apartment"



会从以下注册表中读取信息:

"HKCUSoftwareBorlandLocales"

"HKLMSoftwareBorlandLocales"

"HKCUSoftwareBorlandDelphiLocales"

"HKLMSOFTWAREVMware, Inc."

"HKLMSOFTWAREBorlandDelphi"

"HKLMSOFTWAREMicrosoftVisualStudio6.0SetupMicrosoft Visual C++"

"HKCUSoftwareSSH Communications Security"

"HKCUSoftwareRAdmin"

"HKCUSoftwareES-Computing"



在系统中创建了以下进程:

病毒尝试使用[SeDebugPrivilege]权限枚举进程

病毒尝试枚举系统进程，可能会对一些安全进程进行关闭操作

"CMD.EXE"



病毒会通过以下途径传播:

病毒会利用网络进行传播