该毒为一个远程木马程序。它能够注入到系统桌面进程中运行,连接病毒作者指定的远程服务器。
在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\wicheck080922.exe
C:\WINDOWS\checkcj.ini
C:\WINDOWS\SYSTEM32\wicheck080922.dll
C:\jkDe.bat
C:\WINDOWS\SYSTEM32\checkcj.ini
在磁盘中删除了以下文件:
"c:\sample.exe"
病毒会删除自身
"WICHEC~1.EXE"
会从以下注册表中读取信息:
"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"
病毒会连接作者指定的网址:
域名:"ns.u*2.net" 端口:53 (IP)
域名:"www.y**oo.com" 端口:80 (IP)
域名:"www.w*b.de" 端口:80 (IP)
域名:"FAKE" 端口:4660 (IP)
在磁盘中创建以下配置文件:
checkcj.ini [mydown] "ver" "080922"
checkcj.ini [mydown] "fn_exe" "C:\WINDOWS\SYSTEM32\wicheck080922.exe"
checkcj.ini [mydown] "fn_dll_start" "C:\WINDOWS\SYSTEM32\wicheck080922.dll"
在系统中创建了以下进程:
病毒尝试使用[SeDebugPrivilege]权限枚举进程
病毒尝试枚举系统进程,可能会对一些安全进程进行关闭操作
"rundll32.exe"
"CMD.EXE"
京公网安备 11010802021500号