本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
在磁盘中释放出以下文件: C:WINDOWSSYSTEM32zar C:WINDOWSSYSTEM32zarIEBHO.dll C:WINDOWSSYSTEM32IEBHO.dll C:WINDOWSSYSTEM32zarIETool.dll C:WINDOWSSYSTEM32IETool.dll

行为分析：
这是一个黑客程序。它将自己注册为IE浏览器的插件，为黑客指定的网站刷流量，帮助这些网站提高搜索排行和增加访问量，以便黑客在上面设置的挂马能入侵尽可能多的电脑。

描述：
在磁盘中释放出以下文件:

C:WINDOWSSYSTEM32zar

C:WINDOWSSYSTEM32zarIEBHO.dll

C:WINDOWSSYSTEM32IEBHO.dll

C:WINDOWSSYSTEM32zarIETool.dll

C:WINDOWSSYSTEM32IETool.dll

C:WINDOWSSYSTEM32zarwmpns.dll

C:WINDOWSSYSTEM32wmpns.dll

C:WINDOWSSYSTEM32zarar.ini

C:WINDOWSSYSTEM32ar.ini

C:WINDOWSSYSTEM32hotunist.exe



在磁盘中删除了以下文件:

C:WINDOWSSYSTEM32zarIEBHO.dll

C:WINDOWSSYSTEM32zarIETool.dll

C:WINDOWSSYSTEM32zarwmpns.dll

C:WINDOWSSYSTEM32zarar.ini



在注册表中创建了以下信息:

"HKLMSoftwarewanglian"

"HKCRCLSID{E3F4E9-1F94-C0B38C"

"HKCRCLSID{E3F4E9-1F94-C0B38CInprocServer32"

"HKLMSoftwareMicrosoftInternet ExplorerToolbar"

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool"



在注册表中设置了以下信息:

"HKLMSoftwarewanglian" "DHInited" ""

"HKCRCLSID{E3F4E9-1F94-C0B38CInprocServer32" "default" "C:WINDOWSSYSTEM32IETool.dll"

"HKCRCLSID{E3F4E9-1F94-C0B38CInprocServer32" "ThreadingModel" "Apartment"

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool" "DisplayName" "IE0"

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool" "DisplayVersion" "2.0"

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool" "Publisher" ""

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool" "UninstallString" "C:WINDOWSSYSTEM32hotunist.exe /un"



在注册表中修改了以下信息:

"HKCUSoftwareMicrosoftInternet ExplorerMain" "Start Page" "http://dh.e***7.com"

"HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallHotTool" "Publisher" ""



病毒会连接作者指定的网址:

病毒会从 http://dd6.t***kl.info/net.exe 下载文件至本地计算机 c:
et.exe

域名:"dd6.t***kl.info" 端口:80 (TCP)

dd6.t***kl.info/net.exe



在系统中创建了以下进程:

"regsvr32.EXE"

"regsvr32"



病毒会通过以下途径传播:

病毒会修改硬盘中存在的可执行文件