这是一个木马程序,它会读取用户系统的一些配置信息,并制造后门,连接病毒作者指定的远程服务器,等待黑客连接。
在磁盘中释放出以下文件:
C:\WINDOWS\TEMP\jba0999.tmp
会从以下注册表中读取信息:
"HKLM\SOFTWARE\Microsoft\Internet Explorer"
"HKCR\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}\InprocServer32"
"HKCR\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}\InprocServer32"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{406F94F0-504F-4a40-8DFD-58B0666ABEBD}"
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02496EBD-8455-48db-B3C7-5DAC97D9F5A7}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}"
"HKLM\SOFTWARE\CNNIC\CdnClient"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A0176FE-008B-4706-90F5-BBA532A49731}"
病毒会连接作者指定的网址:
病毒会从 http://dd2.t***kl.info/net.exe 下载文件至本地计算机 c:\net.exe
域名:"dd2.t***kl.info" 端口:80 (TCP)
dd2.t***kl.info/net.exe
京公网安备 11010802021500号