本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中释放出以下文件: C:WINDOWSSYSTEM32adionalcoo.ini C:WINDOWSSYSTEM32ipvanjurmlzew.dll 在注册表中创建了以下信息:

行为分析：
这是一个广告程序。它会在磁盘中释放出，添加自己到注册表启动项，运行起来后连接指定的远程地址，弹出页面。

描述：
在磁盘中释放出以下文件:

C:WINDOWSSYSTEM32adionalcoo.ini

C:WINDOWSSYSTEM32ipvanjurmlzew.dll



在注册表中创建了以下信息:

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}"

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}InprocServer32"

"HKCR.exeIPVANJ~1.IEExtend"

"HKCR.exeIPVANJ~1.IEExtendClsid"

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}ProgID"

"HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{296E2539-1A71-44AE-9864-9C083517BD36}"



在注册表中设置了以下信息:

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}" "" ""

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}InprocServer32" "" "C:WINDOWSSYSTEM32IPVANJ~1.DLL"

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}InprocServer32" "ThreadingModel" "Apartment"

"HKCR.exeIPVANJ~1.IEExtend" "" ""

"HKCR.exeIPVANJ~1.IEExtendClsid" "" "{296E2539-1A71-44AE-9864-9C083517BD36}"

"HKCRCLSID{296E2539-1A71-44AE-9864-9C083517BD36}ProgID" "" "IPVANJ~1.IEExtend"



会从以下注册表中读取信息:

"HKCUSoftwareBorlandLocales"

"HKLMSoftwareBorlandLocales"

"HKCUSoftwareBorlandDelphiLocales"



病毒会连接作者指定的网址:

域名:"www.2***p.cn" 端口:80 (IP)



弹出窗口



病毒会修改硬盘中存在的可执行文件