这是一个木马下载器程序。它会从病毒作者指定的远程地址下载一份地址列表,根据其中的地址下载更多的其它木马文件到用户电脑中运行。
在磁盘中释放出以下文件:
C:\WINDOWS\internat.exe
C:\WINDOWS\SYSTEM32\comm32.dll
C:\temp000.123
C:\WINDOWS\temp\sample.exe
在磁盘中删除了以下文件:
c:\temp000.123
在注册表中创建了以下信息:
"HKLM\System\CurrentControlSet\Services\svcname"
在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services\svcname" "ImagePath" "C:\WINDOWS\SYSTEM32\c:\sample.exe"
"HKLM\System\CurrentControlSet\Services\svcname" "DisplayName" ""
"HKLM\System\CurrentControlSet\Services\svcname" "Description" ""
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
"HKLM\SYSTEM\CurrentControlSet\Services\svcname"
病毒会连接作者指定的网址:
域名:"act.h**rf.com" 端口:80 (TCP)
act.h**rf.com/union/softhand.php?0000005A0000000000000008000000000000000000001F41123456781234567890123456781234567812345678123456784342c30b0d709735b445704132da67c2
病毒会从 http://act.hzsrf.com/union/bind.txt 下载文件至本地计算机 c:\temp000.123
act.h**rf.com/union/bind.txt
在系统中创建了以下进程:
"sample.exe"
病毒尝试枚举系统进程,可能会对一些安全进程进行关闭操作
在系统中创建了以下服务:
服务名: "svcname ()"
映像路径: "C:\WINDOWS\SYSTEM32\c:\sample.exe"