本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中释放出以下文件: C:WINDOWSEntMian.exe C:WINDOWSuninstal.bat 在磁盘中删除了以下文件: "c:sample.exe" 病毒会删除自身

行为分析：
这是一个类似于灰鸽子的远程木马。它会读取用户电脑的区域设置信息，然后连接病毒作者指定的远程地址，还具有下载器的功能。

描述：
在磁盘中释放出以下文件:

C:WINDOWSEntMian.exe

C:WINDOWSuninstal.bat



在磁盘中删除了以下文件:

"c:sample.exe"

病毒会删除自身



在注册表中创建了以下信息:

"HKLMSystemCurrentControlSetServicesspoole"



在注册表中设置了以下信息:

"HKLMSystemCurrentControlSetServicesspoole" "ImagePath" "C:WINDOWSEntMian.exe"

"HKLMSystemCurrentControlSetServicesspoole" "DisplayName" "spoole"



会从以下注册表中读取信息:

"HKCUSoftwareBorlandLocales"

"HKCUSoftwareBorlandDelphiLocales"

"HKLMSoftwareBorlandLocales"

"HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp"



病毒会连接作者指定的网址:

病毒会从 http://www.w***8.org/Data/a.txt 下载文件至本地计算机 C:WINDOWSSYSTEM32system.bak

域名:"www.w***8.org" 端口:80 (TCP)

www.w***8.org/Data/a.txt

域名:"invalid URL" 端口:80 (TCP)

invalid URL/



在系统中创建了以下进程:

病毒尝试使用[SeDebugPrivilege]权限枚举进程

"EntMian.exe"

"CMD.EXE"



在系统中创建了以下服务:

服务名: "spoole (spoole)"

映像路径: "C:WINDOWSEntMian.exe"



病毒会通过以下途径传播:

病毒会修改硬盘中存在的可执行文件