此病毒是一个由Delphi语言编写的下载器程序。会下载其它的木马文件到用户电脑中运行。
1.病毒根据机器信息产生随机文件名,并检查文件是否存在。
2.病毒查询u__.hj__3.com检查网络连接。
3.病毒读取下载url,http://d__.r___s.cn/i__/ms___2.__t,下载文件,并将文件保存在当前用户的临时文件夹中。
4.病毒解密下载的文件,并从中生成文件in__ll.exe,NH__D.exe,Ge___w.exe文件,并依次执行文件。
5.病毒删除刚刚执行的文件。
6.病毒取当前文件名,并生成如下批处理文件删除自身。
:try
del "C:\test\2.exe"
if exist "C:\test\2.exe" goto try
del "C:\test\$$30689.bat"