这是一个广告木马程序。它会在后台悄悄登录指定的网站,为其刷流量,并下载一份地址列表,试图下载更多的其它木马到电脑中运行。
在磁盘中释放出以下文件:
C:\WINDOWS\TEMP\gga0999.tmp
在注册表中创建了以下信息:
"HKLM\Software\Microsoft\Internet Connection Wizard\IcwRmind"
会从以下注册表中读取信息:
"HKLM\Software\Microsoft\Internet Connection Wizard\IcwRmind"
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce"
"HKCU\Software\Microsoft\Internet Explorer\Main"
病毒会连接作者指定的网址:
病毒会从 http://www.w***8.org/Data/a.txt 下载文件至本地计算机 C:\WINDOWS\SYSTEM32\system.bak
域名:"www.w***8.org" 端口:80 (TCP)
www.w***8.org/Data/a.txt
域名:"invalid URL" 端口:80 (TCP)
invalid URL/
病毒会通过以下途径传播:
病毒会利用网络进行传播