威胁级别:★☆☆☆☆
病毒类型:***程序
病毒长度:36912
影响系统:Win9x WinNT Win2000 WinXP Win2003
病毒行为:
    这是一个***程序。病毒运行后通过算法加密自身文件,复制至系统文件夹,同时释放随机8位数文件名的文件和系统服务。病毒通过加载进程,在后台打开广告显示窗口,利用用户提高自身alexa流量排名。另外,病毒还尝试修改系统时间和关闭卡巴斯基杀毒软件。
 
1.加密后释放自身至
%sys32dir%\{随机8位数文件名}.exe
生成文件
%sys32dir%\{随机8位数文件名}.dll
%sys32dir%\{随机8位数文件名}.exe
使用批处理删除自身
 
2.生成和修改注册表
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{随机8位数}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{随机8位数}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting DoReport dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting ShowUI dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT ReportBootOk dword:00000001
 
3.生成随机8位数系统服务项
名称:随机8位数
描述:"为系统提供加速启动功能(d-sp1)。"
路径:"%sys32di5%\{随机8位数文件名}.EXE -a"
 
4.加载进程,在后台打开广告显示窗口,利用用户提高自身alexa流量排名
hxxp://211.100.21.4/info.cnt?id=506267&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://211.100.21.4/info.cnt?id=506265&referer=&resolve=&navigator=&color=&title=&resource=&clientsys=&flux_stat_user=&flux_new_user=
hxxp://data.alexa.com/data?cli=10&dat=snba&ver=7.2&cdt=alx_vw=20&wid=4830&act=20040000000&ss=1024x768&bw=775&t=0&amznid=chinawebmas0b-20&ttl=0&stc=&vis=1&rq=0&stc&url=
 
5.尝试修改系统时间为2005-01-18
 
6.尝试关闭卡巴斯基反病毒软件
 
摘自:金山病毒百科