这是一个广告程序,会修改注册表中关于浏览器的数据,弹出病毒作者指定的广告页面,干扰用户的正常工作。它的部分变种可能拥有远程控制或下载器的功能。
在磁盘中释放出以下文件:
C:WINDOWSTEMPpva0999.tmp
会从以下注册表中读取信息:
"HKLMSOFTWAREMicrosoftInternet Explorer"
"HKCRCLSID{B83FC273-3522-4CC6-92EC-75CC86678DA4}InprocServer32"
"HKCRCLSID{D157330A-9EF3-49F8-9A67-4141AC41ADD4}InprocServer32"
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks"
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{406F94F0-504F-4a40-8DFD-58B0666ABEBD}"
"HKLMSOFTWAREMicrosoftInternet ExplorerToolbar"
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{02496EBD-8455-48db-B3C7-5DAC97D9F5A7}"
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}"
"HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{2A0176FE-008B-4706-90F5-BBA532A49731}"
病毒会连接作者指定的网址:
病毒会从 http://dd6.tesekl.info/net.exe 下载文件至本地计算机 c:
et.exe
域名:"dd6.tesekl.info" 端口:80 (TCP)
dd6.tesekl.info/net.exe
在系统中创建了以下进程:
病毒会创建了一个互斥体 n ,防止重复运行
病毒会通过以下途径传播:
病毒会利用网络进行传播
京公网安备 11010802021500号