此毒为一个黑客木马程序。它拥有比较多的变种,可借助下载器的帮助或捆绑其它软件进入用户电脑。进入系统后就会与远程黑客服务器联系,帮助黑客控制用户电脑。
在磁盘中释放出以下文件:
C:\WINDOWS\Hacker.com.cn.exe
C:\WINDOWS\uninstal.bat
在磁盘中删除了以下文件:
"c:\sample.exe"
病毒会删除自身
在注册表中创建了以下信息:
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname"
在注册表中设置了以下信息:
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "ImagePath" "C:\WINDOWS\SYSTEM32\c:\sample.exe"
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "DisplayName" "pangu_service_display"
"HKLM\System\CurrentControlSet\Services\pangu_service_svcname" "Description" "pangu_service_description"
会从以下注册表中读取信息:
"HKLM\SYSTEM\CurrentControlSet\Services\pangu_service_svcname"
病毒会连接作者指定的网址:
域名:"qq*****33.3322.org" 端口:2014 (TCP)
在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\shells32.ini [shell] "source" "6028"
在系统中创建了以下进程:
"sample.exe"
在系统中创建了以下服务:
服务名: "pangu_service_svcname (pangu_service_display)"
映像路径: "C:\WINDOWS\SYSTEM32\c:\sample.exe"
病毒会通过以下途径传播:
病毒会利用网络进行传播
京公网安备 11010802021500号