这是一个盗号木马,它会注入用户电脑的系统进程中运行,盗取病毒作者指定的帐号和密码。
在磁盘中释放出以下文件:
C:WINDOWSsvchost.exe
在注册表中创建了以下信息:
"HKLMSystemCurrentControlSetServicesPowerManager"
在注册表中设置了以下信息:
"HKLMSystemCurrentControlSetServicesPowerManager" "ImagePath" "C:WINDOWSsvchost.exe"
"HKLMSystemCurrentControlSetServicesPowerManager" "DisplayName" "Power Manager"
病毒会连接作者指定的网址:
病毒会从 http://dd6.tesekl.info/net.exe 下载文件至本地计算机 c:
et.exe
域名:"dd6.tesekl.info" 端口:80 (TCP)
dd6.tesekl.info/net.exe
在系统中创建了以下进程:
病毒会创建了一个互斥体 GlobalPowerManagerMutant ,防止重复运行
"svchost.exe""
"svchost.exe"
在系统中创建了以下服务:
服务名: "PowerManager (Power Manager)"
映像路径: "C:WINDOWSsvchost.exe"
京公网安备 11010802021500号