这是一个诈骗型的木马下载器。它会伪造出一个蓝屏事件,要求用户下载特定的“安全软件”。同时,它会收集用户的上网习惯,以便病毒作者更好的“开展工作”。
1. 遍历本地访问过的网页,检查是否访问过以下网址,这是一种信息收集:
gof***yourself.com
c****p.nu
w***asterworld.com
dia****chutz.de
sp***reinfo.
adult****asterinfo.com
bo***s.cexx.org
st****ank.com
tib****ems.
go***e.ru
vk***akte.ru
od*****ssniki.ru
2. 得到当前的键盘布局,检查是否有特定的输入法,这里针对的是八种输入法,若没有则关闭自身程序,即只对安装了这八种输入法的电脑进行感染
3. 检查是否是在虚拟机中运行,若是造成一个异常并退出
4. 为自身创建互斥对象,若互斥对象已经存在,则关闭自身程序
5. 修改注册表项,修改受受信任级别为最低
6. 修改注册表项,替换桌面的底色以及图片并且去掉了桌面设置中可以设置图片的选项
7. 将自身移动到%system32%目录下,名字随机,并通过修改以下注册表使自身能够自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
8. 修改注册表项,,释放伪造蓝屏的屏保,并且去掉了桌面设置中可以设置屏保的选项
9. 与http://you****ztube.net通信,从该网址下载病毒到本地Temp目录并运行
京公网安备 11010802021500号