这是一个黑客程序,它能利用AUTO技术进行自动传播,将用户电脑连接到黑客的远程服务器,以便黑客盗窃电脑中的信息或对电脑进行非法控制。
在磁盘中释放出以下文件:
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SVCHOST.INI
C:\AutoRun.inf
C:\RavMon.exe
C:\WINDOWS\MDM.EXE
C:\WINDOWS\TEMP\9988.tmp
在磁盘中删除了以下文件:
C:\WINDOWS\TEMP\9988.tmp
会从以下注册表中读取信息:
"HKCU\Software\Borland\Locales"
"HKLM\Software\Borland\Locales"
"HKCU\Software\Borland\Delphi\Locales"
病毒会连接作者指定的网址:
域名:"ch***nt.cn" 端口:80 (IP)
ch***nt.cn/task.asp?mac=00095b2540e0
在磁盘中创建以下配置文件:
SVCHOST.INI [INFO] "version" "104"
SVCHOST.INI [INFO] "win" "WCZOZCDNSSNEDKYQ"
C:\AutoRun.inf [AutoRun] "open" "RavMon.exe"
C:\AutoRun.inf [AutoRun] "shell\open" "&O)"
C:\AutoRun.inf [AutoRun] "shell\open\Command" "RavMon.exe"
京公网安备 11010802021500号