Win32.Adware.Virtumonde.87040

这是一个广告程序，会修改注册表中关于浏览器的数据，弹出病毒作者指定的广告页面，干扰用户的正常工作。它的部分变种可能拥有远程控制或下载器的功能。

在磁盘中释放出以下文件:
C:WINDOWSSYSTEM32PC_Client.dll
C:WINDOWSSYSTEM32DRIVERSMicrosoft.sys
C:
C:WINDOWSSYSTEM32PC_Client.exe

在磁盘中删除了以下文件:
c:sample.exe

在注册表中创建了以下信息:
"HKLMSystemCurrentControlSetServicesCorporation"

在注册表中设置了以下信息:
"HKLMSystemCurrentControlSetServicesCorporation" "ImagePath" "C:WINDOWSSYSTEM32PC_Client.exe -s"
"HKLMSystemCurrentControlSetServicesCorporation" "DisplayName" "Corporation"

病毒会连接作者指定的网址:
域名:"ahmad-58.dyndns.org" 端口:3460 (IP)
域名:"ahmad-58.no-ip.org" 端口:3460 (IP)
域名:"ahmad1111.no-ip.org" 端口:3460 (IP)

在系统中创建了以下进程:
"PC_Client.exe"
病毒尝试使用[SeDebugPrivilege]权限枚举进程

在系统中创建了以下服务:
服务名: "Corporation (Corporation)"
映像路径: "C:WINDOWSSYSTEM32PC_Client.exe -s"

病毒会通过以下途径传播:
病毒会修改硬盘中存在的可执行文件