这是一个下载器程序。它能利用IE、OPERA、FIREFOX等多种浏览器加载自己,然后调用系统中的FTP工具进行病毒下载行为,引起更大的破坏。
1. 主程序主要用于释放setupapi.dll到IEXPLORER目录下,下面都是该dll的操作
2. 检查当前的dll是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE加载,若不是,退出程序
3. 调用本dll时,如果不是加载状态,则检查是否是在winnt以上的系统,若是则用LoadLibrary加载自身
4. 检查是否存在以下注册表项,即已经被感染,若是退出程序
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId
5. 检查注册表,是否存在FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具,若存在则调用该工具去http://66.1*9.2*1.1*8/ftpg/ftp.php得到病毒的ftp地址,并从提供的地址中下载病毒程序到工具默认的文件夹并运行
京公网安备 11010802021500号